Хакеры начали взламывать серверы Nginx для перенаправления пользовательского трафика

[vaspvort]

Злоумышленники начали взламывать серверы Nginx в рамках кампании, которая перехватывает пользовательский трафик и перенаправляет его.

Nginx — это программное обеспечение с открытым исходным кодом для управления веб-трафиком. Оно выступает посредником между пользователями и серверами и используется для веб-серверов, балансировки нагрузки, кэширования и обратного проксирования.

Вредоносная кампания, обнаруженная исследователями из DataDog Security Labs, нацелена на установки Nginx и панели управления хостингом Baota, используемые сайтами с азиатскими доменами верхнего уровня (.in, .id, .pe, .bd и .th), а также правительственными и образовательными сайтами (.edu и .gov).

Злоумышленники изменяют существующие конфигурационные файлы Nginx, внедряя вредоносные блоки «location», которые перехватывают входящие запросы по выбранным URL-адресам. Затем они переписывают их, чтобы включить полный исходный URL, и перенаправляют трафик через директиву «proxy_pass» на контролируемые домены. Используемая директива обычно применяется для балансировки нагрузки, позволяя Nginx перенаправлять запросы через альтернативные группы бэкенд-серверов для повышения производительности или надёжности; следовательно, её использование не вызывает никаких предупреждений безопасности.

Заголовки запроса, такие как «Host», «X-Real-IP», «User-Agent» и «Referer», сохраняются, чтобы трафик выглядел легитимным.

Атака использует скриптовый многоэтапный инструментарий для внедрения конфигурации Nginx. Инструментарий работает в пять этапов:

• этап 1 – zx.sh: действует как начальный скрипт контроллера, отвечающий за загрузку и выполнение остальных шагов. Он включает механизм резервного копирования, который отправляет необработанные HTTP-запросы по TCP, если curl или wget недоступны;
• этап 2 – bt.sh: нацеливается на файлы конфигурации Nginx, управляемые панелью Baota. Он динамически выбирает шаблоны внедрения на основе значения server_name, безопасно перезаписывает конфигурацию и перезагружает Nginx, чтобы избежать простоя сервиса;
• этап 3 – 4zdh.sh: перечисляет распространённые места расположения конфигураций Nginx, такие как sites-enabled, conf.d и sites-available. Он использует инструменты анализа, такие как csplit и awk, для предотвращения повреждения конфигурации, обнаруживает предыдущие внедрения с помощью хеширования и глобального файла сопоставления, а также проверяет изменения с помощью nginx -t перед перезагрузкой;
• этап 4 – zdh.sh: использует более узкий подход к нацеливанию, ориентированный в основном на /etc/nginx/sites-enabled, с акцентом на домены .in и .id. Он следует тому же процессу тестирования конфигурации и перезагрузки, с принудительным перезапуском (pkill) в качестве резервного варианта;
• этап 5 – ok.sh: сканирует скомпрометированные конфигурации Nginx для построения карты захваченных доменов, шаблонов внедрения и целей прокси. Собранные данные затем передаются на сервер управления и контроля (C2) по адресу 158.94.210[.]227.

Эти атаки трудно обнаружить, поскольку они не используют уязвимость Nginx, а скрывают вредоносные инструкции в его конфигурационных файлах, которые редко подвергаются тщательному анализу. Кроме того, пользовательский трафик по-прежнему достигает места назначения, часто напрямую, поэтому прохождение через инфраструктуру злоумышленника вряд ли будет замечено, если не будет проводиться специальный мониторинг.

Источник