被研究人員稱之為Redigo的一種基于Go的新的惡意軟件，它一直針對有CVE-2022-0543漏洞的Redis服務器并植入一個隱秘的后門允許命令執(zhí)行。

CVE-2022-0543是Redis（遠程字典服務器）軟件中的一個關鍵漏洞，具有非常高的威脅性。它在2022年2月被發(fā)現(xiàn)并修復。修復幾個月后，仍有攻擊者繼續(xù)在未打補丁的機器上利用它。針對于此漏洞的惡意軟件的名稱Redigo則是由它的目標機器和構建它的編程語言創(chuàng)造的。

今天，AquaSec報告說，其易受CVE-2022-0543影響的Redis蜜罐捕獲了一個新的惡意軟件，該惡意軟件并沒有被Virus Total上的安全軟件檢測到。

Redigo攻擊

AquaSec說，Redigo攻擊從6379端口的掃描開始，以定位暴露在開放網(wǎng)絡上的Redis服務器。找到目標端點后，atacker連接并運行以下命令:

INFO - 檢查Redis的版本，以確定服務器是否有CVE-2022-0543的漏洞。SLAVEOF - 創(chuàng)建一個攻擊服務器的副本。REPLCONF - 配置從攻擊服務器到新創(chuàng)建副本的連接。PSYNC - 啟動復制流并下載服務器磁盤上的共享庫 "exp_lin.so"。MODULE LOAD - 從下載的動態(tài)庫中加載模塊，該模塊能夠執(zhí)行任意命令并利用CVE-2022-0543。SLAVEOF NO ONE - 將有漏洞的Redis服務器轉變成主服務器。

利用植入后門的命令執(zhí)行能力，攻擊者收集主機的硬件信息，然后下載Redigo（redis-1.2-SNAPSHOT）。該惡意軟件在升級權限后被執(zhí)行。

攻擊者通過6379端口模擬正常的Redis通信，以逃避網(wǎng)絡分析工具的檢測，同時試圖隱藏來自Redigo的命令和控制服務器的流量。

由于AquaSec公司蜜罐的攻擊時間限制，其分析師無法確定Redigo在環(huán)境中站穩(wěn)腳跟后到底做了什么。

AquaSec表示，Redigo的最終目標很可能是將易受攻擊的服務器作為機器人加入網(wǎng)絡，進行分布式拒絕服務（DDoS）攻擊，或者在被攻擊的系統(tǒng)上運行加密貨幣礦工。

此外，由于Redis是一個數(shù)據(jù)庫，訪問數(shù)據(jù)并竊取它也可能是Redigo攻擊的目的。

參考來源：https://www.bleepingcomputer.com/news/security/new-redigo-malware-drops-stealthy-backdoor-on-redis-servers/