HeadCrab 2.0 ist eine Weiterentwicklung der Redis-Malware. Sie kann sich verstecken und ihre schädlichen Aktivitäten als Standardbefehle tarnen. | HeadCrab 2.0 represents an escalation in the sophistication of Redis malware. Its ability to hide in plain sight, masquerading its malicious activities under standard commands, poses new challenges for cybersecurity experts. |
|---|---|
| Die Malware „HeadCrab“ ist seit September 2021 aktiv und hatte bis Anfang 2023 weltweit bereits 1.200 Server kompromittiert, um sie für Cryptojacking zu mißbrauchen. Nun entdeckten die Security-Experten des Aqua Security Team Nautilus eine neue Version der HeadCrab-Malware mit neuen fortschrittlichen Mechanismen. Das Problem seit der Bekanntmachung im letzten Jahr noch verschlimmert. Tatsächlich konnten die Kriminellen die Anzahl der infizierten Redis-Server im Rahmen ihrer andauernden Kampagne fast verdoppeln. Technische Analyse von HeadCrab 2.0: Der fortgeschrittenen Malware auf die Schliche kommen Aqua Security hat eine detaillierte technische Analyse von HeadCrab 2.0 durchgeführt. Die neue Version weist gegenüber der Vorgängerversion Fortschritte auf und zeigt, dass die Angreifer bei der Entwicklung von Malware immer raffinierter vorgehen. Verbesserte Umgehungstechniken in HeadCrab 2.0: Dateiloser Lademechanismus Ein wesentlicher Aspekt der Raffinesse von HeadCrab 2.0 liegt in den verbesserten Umgehungstechniken. Im Gegensatz zu seinem Vorgänger (HeadCrab 1.0) verwendet die neue Version einen dateilosen Lademechanismus, der das Engagement des Angreifers für Stealth und Persistenz demonstriert. HeadCrab 1.0 – Kein dateiloses Laden In der Vorgängerversion verwendete der Angreifer den Befehl SLAVEOF, um die .so (Shared Object)-Datei der HeadCrab-Malware herunterzuladen und auf der Festplatte zu speichern. Diese Methode war zwar effektiv, hinterließ aber deutliche Spuren im Dateisystem, wodurch sie anfällig für Festplattenscanner war und von Cybersicherheitsabwehrsystemen leichter erkannt und entschärft werden konnte.
HeadCrab 2.0 – Der dateilose Loader Der neue Angriffsvektor beinhaltet die Verwendung einer .so-Loader-Datei. Dieser Loader speichert die HeadCrab-Malware nicht direkt auf der Festplatte, sondern empfängt den Malware-Inhalt über den Redis-Kommunikationskanal und speichert ihn an einem dateilosen Speicherort. Durch die Wahl eines dateilosen Speicheransatzes reduziert HeadCrab 2.0 seinen digitalen Fußabdruck auf dem betroffenen Host erheblich. Diese Methode umgeht herkömmliche festplattenbasierte Scan-Lösungen, die die Erkennung von Malware erheblich erschweren. Die Fileless-Technologie sorgt dafür, dass die Malware nur minimale Spuren auf dem infizierten System hinterlässt. Diese Raffinesse hilft nicht nur bei der Umgehung, sondern erschwert auch die forensische Analyse und die Suche nach Bedrohungen, da die üblichen dateibasierten Indikatoren für eine Bedrohung fehlen. Weiterentwicklung des Command and Control (C2) Kanals Ein wesentlicher Aspekt von HeadCrab 2.0 ist die weiterentwickelte Command and Control (C2) Kommunikationsstrategie, die eine Abkehr vom Ansatz früherer Versionen darstellt. Die Strategie von HeadCrab 1.0 – eigene Befehle Die ursprüngliche HeadCrab-Malware verwendete benutzerdefinierte Redis-Befehle (rds*) für ihre C2-Interaktionen. Diese Methode war zwar effektiv, machte die Malware aber aufgrund der ungewöhnlichen Befehle etwas leichter erkennbar. Die Strategie von HeadCrab 2.0 – Standardbefehle Die neue Version nutzt auf raffinierte Weise den Standardbefehl MGET in Redis. Durch das Einklinken in diesen Standardbefehl erhält die Malware die Möglichkeit, diesen bei bestimmten, vom Angreifer initiierten Anfragen zu kontrollieren. Diese Anfragen werden erreicht, indem eine spezielle Zeichenfolge als Argument an den MGET-Befehl gesendet wird. Wenn diese spezielle Zeichenfolge erkannt wird, erkennt die Malware den Befehl als vom Angreifer stammend und löst die bösartige C2-Kommunikation aus. Für normale Benutzer funktioniert der MGET-Befehl wie erwartet, so dass die Malware unerkannt bleibt. Herausforderungen und Erkennungsstrategien Für die Entwicklung von HeadCrab 2.0 mussten unsere bisherigen Erkennungsmethoden grundlegend überarbeitet werden. HeadCrab 1.0 Ursprünglich wurden kompromittierte Server identifiziert, indem der Befehl COMMAND ausgeführt und nach benutzerdefinierten rds*-Befehlen gesucht wurde. Diese Methode ist mit der neuen Version, die einen versteckten Ansatz verfolgt, unwirksam geworden. HeadCrab 2.0 Aqua Security hat eine Schwachstelle in der Hook-Funktion des CONFIG-Befehls in HeadCrab 2.0 entdeckt. Die Malware antwortet auf Befehle wie CONFIG SETREWRITE DIRDBFILENAME mit +OK, was auf nicht kompromittierten Systemen zu einer anderen Antwort führen kann.
| At the beginning of 2023, Aqua Nautilus researchers uncovered HeadCrab – an advanced threat actor utilizing a state-of-the-art, custom-made malware that compromised 1,200 Redis servers. As you know in the ever-evolving world of cybersecurity, threat actors continually adapt and refine their techniques. Technical Analysis of HeadCrab 2.0: Unraveling the Advanced Malware Aqua Security conducted an in-depth technical analysis of HeadCrab 2.0. This new version exhibits advancements over its predecessor, showcasing the attacker’s increasing sophistication in malware development. Enhanced Evasion Techniques in HeadCrab 2.0: Fileless Loader Mechanism An integral aspect of the sophistication of HeadCrab 2.0 lies in its advanced evasion techniques. In contrast to its predecessor (named HeadCrab 1.0), this new version employs a fileless loader mechanism, demonstrating the attacker’s commitment to stealth and persistence. HeadCrab 1.0 – No Fileless loader In the previous version, the attacker utilized the SLAVEOF command to download and save the HeadCrab malware .so (shared object) file to disk. This method, while effective, left tangible traces on the file system, making it susceptible to disk scanning solutions and easier for cybersecurity defenses to detect and mitigate.
HeadCrab 2.0 – The Fileless Loader The new attack vector involves the use of a loader .so file. This loader, instead of directly saving the HeadCrab malware on the disk, receives the malware’s content over the Redis communication channel and stores it in a fileless location. By opting for a fileless storage approach, HeadCrab 2.0 significantly reduces its digital footprint on the affected host. This method effectively circumvents traditional disk-based scanning solutions, making the malware much harder to detect. The fileless technique ensures that the malware leaves minimal traces on the infected system. This subtlety not only aids in evasion but also complicates forensic analysis and threat hunting efforts, as the usual file-based indicators of compromise are absent. Command and Control (C2) Channel Evolution A critical aspect of HeadCrab 2.0 is its evolved Command and Control (C2) communication strategy, marking a departure from the earlier versions approach. HeadCrab 1.0’s Strategy – custom commands The original HeadCrab malware used custom Redis commands (rds*) for its C2 interactions. This method, while effective, made the malware somewhat easier to detect due to the presence of these unusual commands. HeadCrab 2.0’s Strategy – default commands The new version cunningly uses the default MGET command in Redis. By hooking into this standard command, the malware gains the ability to control it during specific attacker-initiated requests. Those requests are achieved by sending a special string as an argument to the MGET command. When this specific string is detected, the malware recognizes the command as originating from the attacker, triggering the malicious C2 communication. For regular users, the MGET command functions as expected, thereby maintaining the stealth of the malware. Detection Challenges and Strategies With the evolution of HeadCrab 2.0, our previous detection methods required a significant overhaul. HeadCrab 1.0 Initially, compromised servers were identified by executing the COMMAND command and looking for custom rds* commands. This method was rendered ineffective with the new version’s stealthier approach. HeadCrab 2.0 Aqua Security discovered a flaw in the hooked function of the CONFIG command in HeadCrab 2.0. The malware responds with an +OK to commands like CONFIG SETREWRITE DIRDBFILENAME, which could result in a different response in uncompromised systems. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de