El malware Migo deshabilita las funciones de protección en los servidores Redis

Los investigadores de seguridad descubrieron una nueva campaña que se dirige a los servidores Redis en hosts Linux utilizando una pieza de malware llamada 'Migo' para minar criptomonedas.

Redis (Remote Dictionary Server) es un almacén de estructura de datos en memoria que se utiliza como base de datos, caché y agente de mensajes conocido por su alto rendimiento, que atiende miles de solicitudes por segundo para aplicaciones en tiempo real en sectores como los juegos, la tecnología, los servicios financieros y la sanidad.

Los piratas informáticos siempre están buscando servidores Redis expuestos y potencialmente vulnerables para secuestrar recursos, robar datos y otros fines maliciosos.

Lo interesante de la nueva cepa de malware es el uso de comandos que debilitan el sistema y desactivan las funciones de seguridad de Redis, lo que permite que las actividades de cryptojacking continúen durante períodos prolongados.

La campaña de Migo fue detectada por los analistas del proveedor forense en la nube Cado Security, quienes observaron en sus honeypots que los atacantes usaban comandos CLI para desactivar las configuraciones de protección y explotar el servidor.

Desactivar los escudos de Redis

Al poner en peligro los servidores Redis expuestos, los atacantes desactivan las funciones de seguridad críticas para permitir la recepción de comandos posteriores y hacer que las réplicas se puedan escribir.

Cado dice que notaron que los atacantes deshabilitaron las siguientes opciones de configuración a través de la CLI de Redis.

set protected-mode: deshabilitar esto permite el acceso externo al servidor de Redis, lo que facilita que un atacante ejecute comandos maliciosos de forma remota.

replica-read-only: desactivar esta opción permite a los atacantes escribir directamente en las réplicas y propagar cargas maliciosas o modificaciones de datos en una configuración de Redis distribuida.

aof-rewrite-incremental-fsync: deshabilitarlo puede provocar una carga de E/S más pesada durante las reescrituras de archivos de solo anexión (AOF), lo que podría ayudar a los atacantes a pasar desapercibidos por las herramientas de detección que distraen con patrones de E/S inusuales.

rdb-save-incremental-fsync: desactivarlo puede provocar una degradación del rendimiento durante el guardado de instantáneas de RDB, lo que podría permitir a los atacantes provocar una denegación de servicio (DoS) o manipular el comportamiento de persistencia en su beneficio.


A continuación, los atacantes configuran un trabajo cron que descarga un script de Pastebin, que recupera la carga útil principal de Migo (/tmp/.migo) de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta para ejecutarla como una tarea en segundo plano.

Se trata de un binario ELD empaquetado en UPX compilado en Go, con ofuscación en tiempo de compilación para dificultar el análisis.

Cado dice que la función principal de Migo es obtener, instalar y lanzar un minero XMRig (Monero) modificado en el punto final comprometido directamente desde la CDN de GitHub.

El malware establece la persistencia para el minero mediante la creación de un servicio systemd y el temporizador asociado, asegurando que se ejecute continuamente, minando criptomonedas en la cuenta del atacante.


Cado informa que Migo emplea un rootkit en modo de usuario para ocultar sus procesos y archivos, lo que complica la detección y eliminación.

El malware modifica '/etc/ld.so.preload' para interceptar y alterar el comportamiento de las herramientas del sistema que enumeran procesos y archivos, ocultando efectivamente su presencia.

El ataque concluye con Migo configurando reglas de firewall para bloquear el tráfico saliente a ciertas IP y ejecutando comandos para deshabilitar SELinux, buscar y potencialmente deshabilitar agentes de monitoreo de proveedores de nube y eliminar mineros o cargas útiles de la competencia.

También manipula /etc/hosts para evitar la comunicación con los proveedores de servicios en la nube, ocultando aún más su actividad.

La cadena de ataque de Migo muestra que el actor de amenazas detrás de ella tiene un sólido conocimiento del entorno y las operaciones de Redis.

Aunque la amenaza de cryptojacking no es demasiado grave porque no provoca interrupciones ni corrupción de datos, el actor de amenazas podría utilizar el acceso para entregar cargas útiles más peligrosas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta