P2Pinfect pahavara

Ohutegijad korraldavad rünnakuid SSH ja avatud lähtekoodiga andmehoidla Redise haavatavate eksemplaride vastu. Need petturlikud osalejad kasutavad P2Pinfecti nime all tuntud peer-to-peer isepaljunevat ussi, mille versioonid on loodud nii Windowsi kui ka Linuxi operatsioonisüsteemide jaoks.

Rust programmeerimiskeeles välja töötatud pahavara P2Pinfect kasutab sihtsüsteemidele esialgse juurdepääsu saamiseks vähemalt kahte meetodit. Esimene meetod kasutab ära kriitilist haavatavust, mis avalikustati ja paigati 2022. aastal. Teine meetod kasutab Redise funktsiooni, mis võimaldab põhiandmebaasi replikatsiooni, et parandada kõrget kättesaadavust ja võidelda tõrkevahetuse stsenaariumide vastu.

P2Pinfecti pahavara kasutab erinevaid nakkusvektoreid

Esialgu kasutas P2PInfect ära kriitilist turvaauku, mille nimi oli CVE-2022-0543 ja mille maksimaalne raskusaste oli 10 punkti 10-st. See turbeviga puudutas konkreetselt Debiani süsteeme ja oli seotud pakendamisprobleemist tingitud LUA liivakasti põgenemise haavatavusega. Selle haavatavuse ärakasutamine andis koodi kaugkäitamise võimalused, mis kujutab endast mõjutatud süsteemidele märkimisväärset ohtu.

Kui haavatav Redise eksemplar on esialgse kasuliku koormuse abil ohustatud, jätkab P2PInfect konkreetse operatsioonisüsteemi jaoks kohandatud uute skriptide ja pahatahtlike binaarfailide allalaadimisega. Lisaks on nakatunud server kantud pahavara ohustatud süsteemide loendisse. Seejärel integreerib pahavara nakatunud serveri oma peer-to-peer võrku, hõlbustades pahatahtliku kasuliku koormuse levitamist tulevastesse ohustatud Redise serveritesse.

P2PInfecti uurinud teadlased avastasid ka proovi, mis näitas platvormidevahelist ühilduvust, mis näitab, et pahavara oli mõeldud nii Windowsi kui ka Linuxi keskkondade sihtimiseks. See konkreetne näidis sisaldas Portable Executable (PE) ja ELF-i kahendfaile, võimaldades sellel mõlemas operatsioonisüsteemis sujuvalt töötada. Huvitaval kombel kasutas see variant teistsugust algjuurdepääsu meetodit, võimendades Redise replikatsioonifunktsiooni, mis võimaldab genereerida Redise peamise/juhtiva eksemplari täpseid koopiaid.

P2Pinfect pahavara levib ja lisab ohustatud süsteemid robotvõrku

Pahavara peamine kasulik koormus on ELF-i kahendfail, mis on nutikalt kirjutatud C ja Rust programmeerimiskeelte kombinatsioonis. Täitmisel käivitab see kasuliku koormuse roostekomponendi ülevõtmise.

Pärast aktiveerimist jätkab binaarfail sihitud hosti SSH-konfiguratsiooni oluliste muudatuste tegemist. See muudab OpenSSH-serveri konfiguratsiooni nii, et see sarnaneks peaaegu vaikeolekuga, võimaldades ründajale juurdepääsu serverile turvalise kesta (SSH) protokolli kaudu ja võimaldades parooliga autentimist. Järgmisena taaskäivitab ohutegija SSH-teenuse ja lisab SSH-võtme praeguse kasutaja volitatud võtmete loendisse, tagades takistamatu juurdepääsu ohustatud süsteemile.

Järgmises etapis juurutab ründaja bash-skripti, et manipuleerida wget- ja curl-binaarfailide nimedega. Skript kontrollib ka konkreetsete utiliitide olemasolu ja installib need, kui need pole veel saadaval. Tulemüüri utiliidi kasutamine näib olevat meede, mida pahavara kasutab haavatava Redise serveri kaitsmiseks teiste potentsiaalsete ründajate eest. Pahavara tagab ohustatud hosti püsivuse, tagades selle pideva töö.

Seejärel on nakatunud server varustatud vähemalt ühe binaarfailiga, mis on võimeline skannima kataloogi /proc ja pääsema juurde iga selles sisalduva protsessi statistikale. Lisaks saab binaarfail aktiivselt jälgida /proc kataloogi muudatuste suhtes.

Lisaks on kahendfailil võimalus esmase pahavara kahendfaili uuendada ja see käivitada, kui praegune allkiri ei ühti robotvõrgust hangitud signatuuriga.

Käsitledes iga ohustatud Redise serverit sõlmena, muudab P2PInfect võrgu peer-to-peer botnetiks. See botnet töötab ilma tsentraliseeritud käsu- ja juhtimisserveri (C2) vajaduseta, võimaldades tal iseseisvalt juhiseid vastu võtta.