P2Pinfect البرامج الضارة

ينفذ ممثلو التهديد هجمات على الحالات الضعيفة من SSH و Redis ، وهو مخزن بيانات مفتوح المصدر. يستخدم هؤلاء المخادعون دودة ذاتية النسخ من نظير إلى نظير تُعرف باسم P2Pinfect ، والتي تحتوي على إصدارات مصممة لكل من أنظمة تشغيل Windows و Linux.

تم تطوير البرنامج الضار P2Pinfect بلغة برمجة Rust ، ويستخدم طريقتين على الأقل للوصول الأولي إلى الأنظمة المستهدفة. تستغل الطريقة الأولى ثغرة خطيرة تم الكشف عنها وتصحيحها في عام 2022. وتستفيد الطريقة الثانية من ميزة داخل Redis تتيح نسخ قاعدة البيانات الرئيسية لتحسين الإتاحة العالية ومواجهة سيناريوهات تجاوز الفشل.

تستخدم البرامج الضارة P2Pinfect ناقلات عدوى مختلفة

في البداية ، استفادت P2PInfect من ثغرة حرجة تم تحديدها على أنها CVE-2022-0543 ، والتي كانت درجة خطورتها القصوى 10 من 10. أثر هذا الخلل الأمني بشكل خاص على أنظمة دبيان وكان متعلقًا بضعف هروب LUA الناجم عن مشكلة التغليف. منح استغلال هذه الثغرة الأمنية قدرات تنفيذ التعليمات البرمجية عن بُعد ، مما يشكل تهديدًا كبيرًا للأنظمة المتأثرة.

بمجرد اختراق مثيل Redis الضعيف باستخدام حمولة أولية ، تتابع P2PInfect تنزيل برامج نصية وثنائيات ضارة جديدة مصممة لنظام التشغيل المحدد. علاوة على ذلك ، يتم إدراج الخادم المصاب في قائمة البرامج الضارة للأنظمة المخترقة. بعد ذلك ، تدمج البرامج الضارة الخادم المصاب في شبكة نظير إلى نظير ، مما يسهل نشر الحمولات الضارة إلى خوادم Redis المعرضة للخطر في المستقبل.

كشف الباحثون الذين قاموا بالتحقيق في P2PInfect أيضًا عن عينة أظهرت التوافق عبر الأنظمة الأساسية ، مما يشير إلى أن البرامج الضارة مصممة لاستهداف بيئات Windows و Linux. تحتوي هذه العينة الخاصة على ثنائيات قابلة للتنفيذ المحمولة (PE) وثنائيات ELF ، مما يسمح لها بالعمل على كلا نظامي التشغيل بسلاسة. ومن المثير للاهتمام ، أن هذا المتغير استخدم طريقة مختلفة للوصول الأولي ، مع الاستفادة من ميزة النسخ المتماثل Redis ، والتي تتيح إنشاء نسخ متماثلة دقيقة لمثيل Redis الرئيسي / القائد.

تنتشر البرامج الضارة P2Pinfect وتضيف الأنظمة المخترقة إلى شبكة Botnet

الحمولة الأساسية للبرامج الضارة هي برنامج ثنائي ELF ، مكتوب بذكاء بمزيج من لغات البرمجة C و Rust. عند التنفيذ ، يقوم بتشغيل مكون Rust من الحمولة لتولي المهمة.

بمجرد التنشيط ، يستمر الثنائي في إجراء تعديلات مهمة على تكوين SSH على المضيف المستهدف. يقوم بتعديل تكوين خادم OpenSSH ليشبه حالة شبه افتراضية ، ويمنح المهاجم الوصول إلى الخادم من خلال بروتوكول (SSH) الآمن ويتيح مصادقة كلمة المرور. بعد ذلك ، يقوم ممثل التهديد بإعادة تشغيل خدمة SSH ويضيف مفتاح SSH إلى قائمة المفاتيح المصرح بها للمستخدم الحالي ، مما يضمن الوصول دون عوائق إلى النظام المخترق.

في المرحلة اللاحقة ، ينشر المهاجم برنامج نصي bash لمعالجة أسماء ثنائيات wget و curl. يتحقق البرنامج النصي أيضًا من وجود أدوات مساعدة محددة ويقوم بتثبيتها إذا لم تكن متوفرة بالفعل. يبدو أن استخدام أداة جدار الحماية هو إجراء يستخدمه البرنامج الضار لحماية خادم Redis الضعيف من المهاجمين المحتملين الآخرين. تؤسس البرامج الضارة استمرارًا على المضيف المخترق ، مما يضمن استمرار تشغيله.

بعد ذلك ، تم تجهيز الخادم المصاب بثنائي واحد على الأقل قادر على المسح من خلال دليل / proc والوصول إلى الإحصائيات لكل عملية فيه. بالإضافة إلى ذلك ، يمكن للثنائي أن يراقب بنشاط دليل / proc لأية تغييرات.

علاوة على ذلك ، يمتلك البرنامج الثنائي القدرة على ترقية البرنامج الثنائي الأساسي للبرامج الضارة وتنفيذه إذا كان التوقيع الحالي لا يتطابق مع التوقيع الذي تم استرداده من الروبوتات.

من خلال التعامل مع كل خادم Redis تم اختراقه كعقدة ، تقوم P2PInfect بتحويل الشبكة إلى شبكة بوت نت نظير إلى نظير. تعمل هذه الروبوتات دون الحاجة إلى خادم قيادة وتحكم مركزي (C2) ، مما يمنحها القدرة على تلقي التعليمات بشكل مستقل.