Malware P2Pinfect

Aktéři hrozeb provádějí útoky na zranitelné instance SSH a Redis, open-source úložiště dat. Tito podvodní aktéři používají peer-to-peer sebereplikujícího červa známého jako P2Pinfect, který má verze určené pro operační systémy Windows i Linux.

Malware P2Pinfect, vyvinutý v programovacím jazyce Rust, využívá alespoň dvě metody k získání počátečního přístupu k cílovým systémům. První metoda využívá kritickou chybu zabezpečení, která byla odhalena a opravena v roce 2022. Druhá metoda využívá funkci v rámci Redis, která umožňuje replikaci hlavní databáze pro lepší vysokou dostupnost a čelit scénářům převzetí služeb při selhání.

Malware P2Pinfect používá různé vektory infekce

Zpočátku P2PInfect vydělával na kritické zranitelnosti označené jako CVE-2022-0543, která měla maximální skóre závažnosti 10 z 10. Tato bezpečnostní chyba se konkrétně týkala systémů Debianu a týkala se zranitelnosti úniku LUA sandbox vyplývající z problému s balením. Zneužití této chyby zabezpečení umožnilo vzdálené spuštění kódu, což představuje významnou hrozbu pro postižené systémy.

Jakmile je zranitelná instance Redis kompromitována pomocí počátečního užitečného zatížení, P2PInfect pokračuje ve stahování nových skriptů a škodlivých binárních souborů přizpůsobených pro konkrétní operační systém. Kromě toho je infikovaný server zařazen do seznamu napadených systémů malwaru. Následně malware integruje infikovaný server do své sítě peer-to-peer, čímž usnadňuje šíření škodlivého obsahu na budoucí kompromitované servery Redis.

Výzkumníci zkoumající P2PInfect také odhalili vzorek, který prokázal kompatibilitu napříč platformami, což naznačuje, že malware byl navržen tak, aby cílil na prostředí Windows i Linux. Tento konkrétní vzorek obsahoval binární soubory Portable Executable (PE) a ELF, což mu umožňovalo bezproblémové fungování na obou operačních systémech. Zajímavé je, že tato varianta využívala jinou metodu počátečního přístupu, využívající replikační funkci Redis, která umožňuje generování přesných replik hlavní/vedoucí instance Redis.

Malware P2Pinfect šíří a přidává kompromitované systémy do botnetu

Primárním nákladem malwaru je binární ELF, chytře napsaný v kombinaci programovacích jazyků C a Rust. Po spuštění spustí komponentu Rust užitečného zatížení, aby převzala kontrolu.

Po aktivaci binární kód pokračuje v provádění kritických změn konfigurace SSH na cílovém hostiteli. Upravuje konfiguraci serveru OpenSSH tak, aby se podobala téměř výchozímu stavu, přičemž útočníkovi poskytuje přístup k serveru prostřednictvím protokolu Secure Shell (SSH) a umožňuje ověřování heslem. Dále aktér hrozby restartuje službu SSH a přidá klíč SSH do seznamu autorizovaných klíčů pro aktuálního uživatele, čímž zajistí neomezený přístup k napadenému systému.

V následné fázi útočník nasadí bash skript pro manipulaci s názvy binárních souborů wget a curl. Skript také ověří přítomnost konkrétních utilit a nainstaluje je, pokud ještě nejsou k dispozici. Zdá se, že použití nástroje brány firewall je opatřením, které malware používá k ochraně zranitelného serveru Redis před dalšími potenciálními útočníky. Malware zajišťuje trvalost na napadeném hostiteli a zajišťuje jeho nepřetržitý provoz.

Následně je infikovaný server vybaven alespoň jednou binárkou schopnou skenovat adresář /proc a přistupovat ke statistikám každého procesu v něm. Kromě toho může binární soubor aktivně sledovat jakékoli změny v adresáři /proc.

Kromě toho má binární soubor schopnost upgradovat primární binární malware a spustit jej, pokud se aktuální podpis neshoduje s podpisem získaným z botnetu.

Tím, že P2PInfect zachází s každým kompromitovaným serverem Redis jako s uzlem, transformuje síť na peer-to-peer botnet. Tento botnet funguje bez potřeby centralizovaného serveru Command-and-Control (C2), což mu poskytuje schopnost přijímat pokyny autonomně.