P2Pinfect-haittaohjelma

Uhkatoimijat hyökkäävät haavoittuviin SSH:n ja Rediksen, avoimen lähdekoodin tietovaraston, esiintymiin. Nämä petolliset toimijat käyttävät P2Pinfect-nimistä vertaisverkkomatoa, joka on suunniteltu sekä Windows- että Linux-käyttöjärjestelmille.

Rust-ohjelmointikielellä kehitetty P2Pinfect-haittaohjelma hyödyntää vähintään kahta tapaa päästäkseen alkuun kohdejärjestelmiin. Ensimmäinen menetelmä hyödyntää kriittistä haavoittuvuutta, joka paljastettiin ja korjattiin vuonna 2022. Toinen menetelmä hyödyntää Rediksen ominaisuutta, joka mahdollistaa päätietokannan replikoinnin korkean käytettävyyden parantamiseksi ja vikasietotilanteiden torjumiseksi.

P2Pinfect-haittaohjelma käyttää erilaisia infektiovektoreita

Aluksi P2PInfect hyödynsi kriittistä haavoittuvuutta, joka tunnistettiin nimellä CVE-2022-0543, jonka vakavuusaste oli enintään 10 pistettä 10:stä. Tämä tietoturvavirhe vaikutti erityisesti Debian-järjestelmiin ja liittyi pakkausongelmasta johtuvaan LUA-hiekkalaatikon pakohaavoittuvuuteen. Tämän haavoittuvuuden hyödyntäminen myönsi koodin etäsuoritusominaisuudet, mikä muodostaa merkittävän uhan haavoittuville järjestelmille.

Kun haavoittuva Redis-esiintymä on vaarantunut alkuperäisen hyötykuorman avulla, P2PInfect jatkaa uusien komentosarjojen ja haitallisten binäärien lataamista tiettyä käyttöjärjestelmää varten. Lisäksi tartunnan saanut palvelin on merkitty haittaohjelmien vaarantuneiden järjestelmien luetteloon. Myöhemmin haittaohjelma integroi tartunnan saaneen palvelimen vertaisverkkoonsa, mikä helpottaa haitallisten hyötykuormien levittämistä tuleviin vaarantuneisiin Redis-palvelimiin.

P2PInfectiä tutkivat tutkijat löysivät myös näytteen, joka osoitti yhteensopivuuden eri alustojen välillä, mikä osoittaa, että haittaohjelma oli suunniteltu kohdistumaan sekä Windows- että Linux-ympäristöihin. Tämä näyte sisälsi Portable Executable (PE)- ja ELF-binäärit, mikä mahdollisti sen toimimisen molemmissa käyttöjärjestelmissä saumattomasti. Mielenkiintoista on, että tämä versio käytti erilaista alkupääsymenetelmää hyödyntäen Redis-replikointiominaisuutta, joka mahdollistaa tarkkojen replikoiden luomisen pää-/pää-Redis-esiintymästä.

P2Pinfect-haittaohjelmat leviävät ja lisäävät vaarantuneet järjestelmät bottiverkkoon

Haittaohjelman ensisijainen hyötykuorma on ELF-binaari, joka on kirjoitettu taitavasti C- ja Rust-ohjelmointikielten yhdistelmällä. Suorituksen jälkeen se laukaisee hyötykuorman ruostekomponentin ottamaan haltuunsa.

Kun binaari on aktivoitu, se tekee kriittisiä muutoksia kohteena olevan isännän SSH-kokoonpanoon. Se muuttaa OpenSSH-palvelimen kokoonpanoa muistuttamaan lähes oletustilaa, myöntämällä hyökkääjälle pääsyn palvelimeen SSH (Secure Shell) -protokollan kautta ja mahdollistaen salasanatodennuksen. Seuraavaksi uhkatekijä käynnistää SSH-palvelun uudelleen ja lisää SSH-avaimen nykyisen käyttäjän valtuutettujen avainten luetteloon, mikä varmistaa esteettömän pääsyn vaarantuneeseen järjestelmään.

Seuraavassa vaiheessa hyökkääjä ottaa käyttöön bash-komentosarjan muokatakseen wget- ja curl-binäärien nimiä. Komentosarja myös tarkistaa tiettyjen apuohjelmien olemassaolon ja asentaa ne, jos niitä ei ole jo saatavilla. Palomuuriapuohjelman käyttö näyttää olevan haittaohjelman käyttämä toimenpide suojatakseen haavoittuvaa Redis-palvelinta muilta mahdollisilta hyökkääjiltä. Haittaohjelma varmistaa pysyvyyden vaarantuneessa isännässä ja varmistaa sen jatkuvan toiminnan.

Myöhemmin tartunnan saaneeseen palvelimeen on asennettu vähintään yksi binaari, joka pystyy tarkistamaan /proc-hakemiston ja pääsemään kunkin siinä olevan prosessin tilastoihin. Lisäksi binaari voi aktiivisesti tarkkailla /proc-hakemistoa mahdollisten muutosten varalta.

Lisäksi binäärillä on kyky päivittää ensisijainen haittaohjelmabinaari ja suorittaa se, jos nykyinen allekirjoitus ei vastaa bottiverkosta haettua allekirjoitusta.

Käsittelemällä jokaista vaarantunutta Redis-palvelinta solmuna P2PInfect muuntaa verkon vertaisbottiverkoksi. Tämä botnet toimii ilman keskitettyä Command-and-Control (C2) -palvelinta, mikä antaa sille mahdollisuuden vastaanottaa ohjeita itsenäisesti.