P2Pinfect Зловреден софтуер

Актьорите на заплахи извършват атаки срещу уязвими копия на SSH и Redis, хранилище за данни с отворен код. Тези измамници използват peer-to-peer самовъзпроизвеждащ се червей, известен като P2Pinfect, който има версии, предназначени за операционни системи Windows и Linux.

Разработен на езика за програмиране Rust, зловредният софтуер P2Pinfect използва поне два метода за получаване на първоначален достъп до целевите системи. Първият метод използва критична уязвимост, която беше разкрита и коригирана през 2022 г. Вторият метод се възползва от функция в рамките на Redis, която позволява репликацията на основната база данни за подобрена висока наличност и за противодействие на сценарии за отказ.

Зловреден софтуер P2Pinfect използва различни вектори на инфекция

Първоначално P2PInfect се възползва от критична уязвимост, идентифицирана като CVE-2022-0543, която имаше максимален резултат за сериозност 10 от 10. Този пропуск в сигурността конкретно засегна системите на Debian и се отнасяше до уязвимост на избягване на LUA sandbox в резултат на проблем с опаковката. Използването на тази уязвимост предостави възможности за отдалечено изпълнение на код, което представлява значителна заплаха за засегнатите системи.

След като уязвим екземпляр на Redis бъде компрометиран с помощта на първоначален полезен товар, P2PInfect продължава да изтегля нови скриптове и злонамерени двоични файлове, пригодени за конкретната операционна система. Освен това заразеният сървър е включен в списъка на компрометираните системи на зловреден софтуер. Впоследствие злонамереният софтуер интегрира заразения сървър в неговата peer-to-peer мрежа, улеснявайки разпространението на злонамерени полезни товари към бъдещи компрометирани Redis сървъри.

Изследователите, разследващи P2PInfect, също откриха проба, която демонстрира междуплатформена съвместимост, което показва, че злонамереният софтуер е проектиран да се насочва както към Windows, така и към Linux среди. Тази конкретна проба съдържа Portable Executable (PE) и ELF бинарни файлове, което му позволява да работи безпроблемно и на двете операционни системи. Интересното е, че този вариант използва различен метод за първоначален достъп, използвайки функцията за репликация на Redis, която позволява генерирането на точни копия на основния/водещия екземпляр на Redis.

P2Pinfect Зловреден софтуер разпространява и добавя компрометираните системи към ботнет

Основният полезен товар на зловреден софтуер е ELF двоичен файл, умело написан в комбинация от езици за програмиране C и Rust. При изпълнението той задейства Rust компонента на полезния товар, за да поеме.

След като бъде активиран, двоичният файл продължава да прави критични промени в конфигурацията на SSH на целевия хост. Той модифицира конфигурацията на OpenSSH сървъра, за да наподобява почти състояние по подразбиране, като предоставя на атакуващия достъп до сървъра чрез протокола за защитена обвивка (SSH) и позволява удостоверяване с парола. След това заплахата рестартира SSH услугата и добавя SSH ключ към списъка с оторизирани ключове за текущия потребител, осигурявайки безпрепятствен достъп до компрометираната система.

В следващата фаза атакуващият внедрява bash скрипт, за да манипулира имената на двоичните файлове wget и curl. Скриптът също така проверява наличието на конкретни помощни програми и ги инсталира, ако все още не са налични. Използването на помощна програма за защитна стена изглежда е мярка, използвана от злонамерения софтуер за защита на уязвимия Redis сървър от други потенциални нападатели. Злонамереният софтуер установява устойчивост на компрометирания хост, като гарантира неговата непрекъсната работа.

Впоследствие заразеният сървър е оборудван с поне един двоичен файл, способен да сканира през директорията /proc и да има достъп до статистиката за всеки процес в нея. Освен това двоичният файл може активно да наблюдава директорията /proc за всякакви промени.

Освен това двоичният файл притежава способността да надгражда основния двоичен файл на зловреден софтуер и да го изпълни, ако текущият подпис не съвпада с този, извлечен от ботнета.

Като третира всеки компрометиран Redis сървър като възел, P2PInfect трансформира мрежата в peer-to-peer ботнет. Този ботнет работи без необходимост от централизиран сървър за командване и контрол (C2), което му дава възможност да получава инструкции автономно.