P2Pinfect ম্যালওয়্যার

হুমকি অভিনেতারা SSH এবং Redis, একটি ওপেন-সোর্স ডেটা স্টোরের দুর্বল দৃষ্টান্তগুলিতে আক্রমণ চালাচ্ছে। এই প্রতারক অভিনেতারা একটি পিয়ার-টু-পিয়ার স্ব-প্রতিলিপিকারী কীট ব্যবহার করছে যা P2Pinfect নামে পরিচিত, যার সংস্করণ উইন্ডোজ এবং লিনাক্স উভয় অপারেটিং সিস্টেমের জন্য ডিজাইন করা হয়েছে।

রাস্ট প্রোগ্রামিং ল্যাঙ্গুয়েজে বিকশিত, P2Pinfect ম্যালওয়্যার টার্গেট সিস্টেমে প্রাথমিক অ্যাক্সেস পেতে কমপক্ষে দুটি পদ্ধতি ব্যবহার করে। প্রথম পদ্ধতিটি একটি জটিল দুর্বলতাকে কাজে লাগায় যা 2022 সালে প্রকাশ এবং প্যাচ করা হয়েছিল। দ্বিতীয় পদ্ধতিটি Redis-এর মধ্যে একটি বৈশিষ্ট্যের সুবিধা নেয় যা উন্নত উচ্চ প্রাপ্যতার জন্য এবং ব্যর্থতার পরিস্থিতি মোকাবেলার জন্য প্রধান ডাটাবেসের প্রতিলিপি সক্ষম করে।

P2Pinfect ম্যালওয়্যার বিভিন্ন সংক্রমণ ভেক্টর ব্যবহার করে

প্রাথমিকভাবে, P2PInfect CVE-2022-0543 হিসাবে চিহ্নিত একটি জটিল দুর্বলতাকে পুঁজি করে, যার সর্বোচ্চ তীব্রতার স্কোর ছিল 10-এর মধ্যে 10। এই নিরাপত্তা ত্রুটি বিশেষভাবে ডেবিয়ান সিস্টেমগুলিকে প্রভাবিত করে এবং একটি প্যাকেজিং সমস্যার ফলে LUA স্যান্ডবক্স এস্কেপ দুর্বলতার সাথে সম্পর্কিত। এই দুর্বলতার শোষণ দূরবর্তী কোড কার্যকর করার ক্ষমতা দেয়, যা প্রভাবিত সিস্টেমের জন্য একটি উল্লেখযোগ্য হুমকি সৃষ্টি করে।

একবার একটি দুর্বল রেডিস উদাহরণ একটি প্রাথমিক পেলোড ব্যবহার করে আপস করা হলে, P2PInfect নির্দিষ্ট অপারেটিং সিস্টেমের জন্য তৈরি নতুন স্ক্রিপ্ট এবং দূষিত বাইনারি ডাউনলোড করতে এগিয়ে যায়। অধিকন্তু, সংক্রমিত সার্ভারটি ম্যালওয়্যারের আপোসকৃত সিস্টেমের তালিকায় তালিকাভুক্ত করা হয়েছে। পরবর্তীকালে, ম্যালওয়্যারটি সংক্রামিত সার্ভারকে তার পিয়ার-টু-পিয়ার নেটওয়ার্কে একীভূত করে, ভবিষ্যতের আপস করা রেডিস সার্ভারগুলিতে দূষিত পেলোডগুলি ছড়িয়ে দেওয়ার সুবিধা দেয়।

P2PInfect তদন্তকারী গবেষকরা একটি নমুনাও উন্মোচন করেছেন যা ক্রস-প্ল্যাটফর্ম সামঞ্জস্যতা প্রদর্শন করে, যা নির্দেশ করে যে ম্যালওয়্যারটি উইন্ডোজ এবং লিনাক্স উভয় পরিবেশকে লক্ষ্য করার জন্য ডিজাইন করা হয়েছিল। এই বিশেষ নমুনাটিতে পোর্টেবল এক্সিকিউটেবল (PE) এবং ELF বাইনারি রয়েছে, এটি উভয় অপারেটিং সিস্টেমে নির্বিঘ্নে কাজ করার অনুমতি দেয়। মজার বিষয় হল, এই বৈকল্পিকটি প্রাথমিক অ্যাক্সেসের একটি ভিন্ন পদ্ধতি নিযুক্ত করেছে, Redis প্রতিলিপি বৈশিষ্ট্যটি ব্যবহার করে, যা প্রধান/নেতা Redis উদাহরণের সঠিক প্রতিলিপি তৈরি করতে সক্ষম করে।

P2Pinfect ম্যালওয়্যার ছড়ায় এবং একটি বটনেটে আপোষকৃত সিস্টেম যোগ করে

ম্যালওয়্যারের প্রাথমিক পেলোড হল একটি ELF বাইনারি, C এবং Rust প্রোগ্রামিং ভাষার সংমিশ্রণে চতুরভাবে লেখা। সঞ্চালনের পরে, এটি পেলোডের মরিচা উপাদানটিকে দখলে নিতে ট্রিগার করে।

একবার সক্রিয় হয়ে গেলে, বাইনারি লক্ষ্যযুক্ত হোস্টে SSH কনফিগারেশনে সমালোচনামূলক পরিবর্তন করতে এগিয়ে যায়। এটি ওপেনএসএইচ সার্ভার কনফিগারেশনকে একটি কাছাকাছি ডিফল্ট অবস্থার অনুরূপ করার জন্য সংশোধন করে, আক্রমণকারীকে সুরক্ষিত শেল (SSH) প্রোটোকলের মাধ্যমে সার্ভারে অ্যাক্সেস প্রদান করে এবং পাসওয়ার্ড প্রমাণীকরণ সক্ষম করে। এর পরে, হুমকি অভিনেতা SSH পরিষেবাটি পুনরায় চালু করে এবং বর্তমান ব্যবহারকারীর জন্য অনুমোদিত কীগুলির তালিকায় একটি SSH কী যোগ করে, আপসহীন সিস্টেমে বাধাহীন অ্যাক্সেস নিশ্চিত করে।

পরবর্তী পর্যায়ে, আক্রমণকারী wget এবং কার্ল বাইনারিগুলির নাম পরিবর্তন করতে একটি ব্যাশ স্ক্রিপ্ট স্থাপন করে। স্ক্রিপ্টটি নির্দিষ্ট ইউটিলিটিগুলির উপস্থিতিও যাচাই করে এবং সেগুলি ইতিমধ্যে উপলব্ধ না হলে সেগুলি ইনস্টল করে৷ একটি ফায়ারওয়াল ইউটিলিটি ব্যবহার, অন্য সম্ভাব্য আক্রমণকারীদের থেকে দুর্বল রেডিস সার্ভারকে রক্ষা করার জন্য ম্যালওয়্যার দ্বারা নিযুক্ত একটি পরিমাপ বলে মনে হচ্ছে। ম্যালওয়্যারটি আপস করা হোস্টের উপর অধ্যবসায় স্থাপন করে, এটির ক্রমাগত অপারেশন নিশ্চিত করে।

পরবর্তীকালে, সংক্রামিত সার্ভারে কমপক্ষে একটি বাইনারি আছে যা /proc ডিরেক্টরির মাধ্যমে স্ক্যান করতে এবং এর প্রতিটি প্রক্রিয়ার জন্য স্ট্যাট অ্যাক্সেস করতে সক্ষম। অতিরিক্তভাবে, বাইনারি যেকোনো পরিবর্তনের জন্য /proc ডিরেক্টরি সক্রিয়ভাবে নিরীক্ষণ করতে পারে।

তদ্ব্যতীত, বাইনারি প্রাথমিক ম্যালওয়্যার বাইনারি আপগ্রেড করার ক্ষমতা রাখে এবং বর্তমান স্বাক্ষরটি বটনেট থেকে পুনরুদ্ধার করা একটির সাথে মেলে না।

প্রতিটি আপস করা Redis সার্ভারকে একটি নোড হিসাবে বিবেচনা করে, P2PInfect নেটওয়ার্কটিকে একটি পিয়ার-টু-পিয়ার বটনেটে রূপান্তরিত করে। এই বটনেট একটি কেন্দ্রীভূত কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের প্রয়োজন ছাড়াই কাজ করে, এটি স্বায়ত্তশাসিতভাবে নির্দেশাবলী গ্রহণ করার ক্ষমতা প্রদান করে।