P2Pinfect Malware

Οι φορείς απειλών πραγματοποιούν επιθέσεις σε ευάλωτες περιπτώσεις του SSH και του Redis, ενός χώρου αποθήκευσης δεδομένων ανοιχτού κώδικα. Αυτοί οι δόλιοι ηθοποιοί χρησιμοποιούν έναν αυτοαναπαραγόμενο ιό τύπου worm, γνωστό ως P2Pinfect, το οποίο έχει εκδόσεις σχεδιασμένες τόσο για λειτουργικά συστήματα Windows όσο και για Linux.

Αναπτύχθηκε στη γλώσσα προγραμματισμού Rust, το κακόβουλο λογισμικό P2Pinfect χρησιμοποιεί τουλάχιστον δύο μεθόδους για να αποκτήσει αρχική πρόσβαση σε συστήματα-στόχους. Η πρώτη μέθοδος εκμεταλλεύεται μια κρίσιμη ευπάθεια που αποκαλύφθηκε και διορθώθηκε το 2022. Η δεύτερη μέθοδος εκμεταλλεύεται μια δυνατότητα στο Redis που επιτρέπει την αναπαραγωγή της κύριας βάσης δεδομένων για βελτιωμένη υψηλή διαθεσιμότητα και για την αντιμετώπιση σεναρίων ανακατεύθυνσης.

Το κακόβουλο λογισμικό P2Pinfect χρησιμοποιεί διαφορετικούς φορείς μόλυνσης

Αρχικά, το P2PInfect αξιοποίησε μια κρίσιμη ευπάθεια που προσδιορίστηκε ως CVE-2022-0543, η οποία είχε μέγιστο βαθμό σοβαρότητας 10 στα 10. Αυτό το ελάττωμα ασφαλείας επηρέασε ειδικά τα συστήματα Debian και αφορούσε μια ευπάθεια διαφυγής LUA sandbox που προέκυψε από πρόβλημα συσκευασίας. Η εκμετάλλευση αυτής της ευπάθειας παρείχε δυνατότητες απομακρυσμένης εκτέλεσης κώδικα, αποτελώντας σημαντική απειλή για τα επηρεαζόμενα συστήματα.

Μόλις μια ευάλωτη παρουσία του Redis παραβιαστεί χρησιμοποιώντας ένα αρχικό ωφέλιμο φορτίο, το P2PInfect προχωρά στη λήψη νέων σεναρίων και κακόβουλων δυαδικών αρχείων προσαρμοσμένων για το συγκεκριμένο λειτουργικό σύστημα. Επιπλέον, ο μολυσμένος διακομιστής περιλαμβάνεται στη λίστα των παραβιασμένων συστημάτων του κακόβουλου λογισμικού. Στη συνέχεια, το κακόβουλο λογισμικό ενσωματώνει τον μολυσμένο διακομιστή στο peer-to-peer δίκτυό του, διευκολύνοντας τη διάδοση κακόβουλων ωφέλιμων φορτίων σε μελλοντικούς παραβιασμένους διακομιστές Redis.

Οι ερευνητές που διερεύνησαν το P2PInfect ανακάλυψαν επίσης ένα δείγμα που απέδειξε συμβατότητα μεταξύ πλατφορμών, υποδεικνύοντας ότι το κακόβουλο λογισμικό είχε σχεδιαστεί για να στοχεύει περιβάλλοντα Windows και Linux. Το συγκεκριμένο δείγμα περιείχε δυαδικά αρχεία Portable Executable (PE) και ELF, επιτρέποντάς του να λειτουργεί απρόσκοπτα και στα δύο λειτουργικά συστήματα. Είναι ενδιαφέρον ότι αυτή η παραλλαγή χρησιμοποίησε μια διαφορετική μέθοδο αρχικής πρόσβασης, αξιοποιώντας τη δυνατότητα αναπαραγωγής Redis, η οποία επιτρέπει τη δημιουργία ακριβών αντιγράφων της κύριας/καθοδηγητικής παρουσίας Redis.

Το κακόβουλο λογισμικό P2Pinfect εξαπλώνεται και προσθέτει τα παραβιασμένα συστήματα σε ένα Botnet

Το κύριο ωφέλιμο φορτίο του κακόβουλου λογισμικού είναι ένα δυαδικό ELF, γραμμένο έξυπνα σε συνδυασμό γλωσσών προγραμματισμού C και Rust. Κατά την εκτέλεση, ενεργοποιεί το στοιχείο Rust του ωφέλιμου φορτίου για να αναλάβει.

Μόλις ενεργοποιηθεί, το δυαδικό προχωρά στην πραγματοποίηση κρίσιμων αλλαγών στη διαμόρφωση SSH στον στοχευμένο κεντρικό υπολογιστή. Τροποποιεί τη διαμόρφωση του διακομιστή OpenSSH ώστε να μοιάζει με μια σχεδόν προεπιλεγμένη κατάσταση, παραχωρώντας στον εισβολέα πρόσβαση στον διακομιστή μέσω του πρωτοκόλλου ασφαλούς κελύφους (SSH) και ενεργοποιώντας τον έλεγχο ταυτότητας με κωδικό πρόσβασης. Στη συνέχεια, ο παράγοντας απειλής επανεκκινεί την υπηρεσία SSH και προσθέτει ένα κλειδί SSH στη λίστα των εξουσιοδοτημένων κλειδιών για τον τρέχοντα χρήστη, διασφαλίζοντας ανεμπόδιστη πρόσβαση στο παραβιασμένο σύστημα.

Στην επόμενη φάση, ο εισβολέας αναπτύσσει ένα σενάριο bash για να χειριστεί τα ονόματα των δυαδικών αρχείων wget και curl. Το σενάριο επαληθεύει επίσης την παρουσία συγκεκριμένων βοηθητικών προγραμμάτων και τα εγκαθιστά εάν δεν είναι ήδη διαθέσιμα. Η χρήση ενός βοηθητικού προγράμματος τείχους προστασίας φαίνεται να είναι ένα μέτρο που χρησιμοποιείται από το κακόβουλο λογισμικό για την προστασία του ευάλωτου διακομιστή Redis από άλλους πιθανούς εισβολείς. Το κακόβουλο λογισμικό δημιουργεί επιμονή στον παραβιασμένο κεντρικό υπολογιστή, διασφαλίζοντας τη συνεχή λειτουργία του.

Στη συνέχεια, ο μολυσμένος διακομιστής είναι εξοπλισμένος με τουλάχιστον ένα δυαδικό αρχείο με δυνατότητα σάρωσης μέσω του καταλόγου /proc και πρόσβασης στο stat για κάθε διεργασία σε αυτόν. Επιπλέον, το δυαδικό μπορεί να παρακολουθεί ενεργά τον κατάλογο /proc για τυχόν αλλαγές.

Επιπλέον, το δυαδικό έχει τη δυνατότητα να αναβαθμίσει το πρωτεύον δυαδικό κακόβουλο λογισμικό και να το εκτελέσει εάν η τρέχουσα υπογραφή δεν ταιριάζει με αυτή που ανακτήθηκε από το botnet.

Αντιμετωπίζοντας κάθε παραβιασμένο διακομιστή Redis ως κόμβο, το P2PInfect μετατρέπει το δίκτυο σε ένα ομότιμο botnet. Αυτό το botnet λειτουργεί χωρίς την ανάγκη κεντρικού διακομιστή Command-and-Control (C2), παρέχοντάς του τη δυνατότητα να λαμβάνει οδηγίες αυτόνομα.