תוכנת זדונית P2Pinfect

שחקני איומים מבצעים התקפות על מקרים פגיעים של SSH ו-Redis, מאגר נתונים בקוד פתוח. השחקנים הרמאים האלה משתמשים בתולעת המשכפלת את עצמה עמית לעמית המכונה P2Pinfect, שיש לה גרסאות המיועדות למערכות ההפעלה Windows וגם ל-Linux.

תוכנת הזדונית P2Pinfect, שפותחה בשפת התכנות Rust, משתמשת בשתי שיטות לפחות כדי לקבל גישה ראשונית למערכות היעד. השיטה הראשונה מנצלת פגיעות קריטית שנחשפה וטופלה בשנת 2022. השיטה השנייה מנצלת תכונה בתוך Redis המאפשרת שכפול של מסד הנתונים הראשי לשיפור זמינות גבוהה ולמניעת תרחישי כשל.

תוכנת זדונית P2Pinfect משתמשת בוקטורי זיהום שונים

בתחילה, P2PInfect ניצל פגיעות קריטית שזוהתה כ-CVE-2022-0543, אשר קיבלה ציון חומרה מרבי של 10 מתוך 10. פגם אבטחה זה השפיע במיוחד על מערכות דביאן והתייחס לפגיעות בריחת LUA של ארגז חול כתוצאה מבעיית אריזה. הניצול של פגיעות זו העניק יכולות של ביצוע קוד מרחוק, מה שהיווה איום משמעותי על המערכות המושפעות.

ברגע שמופע Redis פגיע נפגע באמצעות מטען ראשוני, P2PInfect ממשיך להוריד סקריפטים חדשים וקבצים בינאריים זדוניים המותאמים למערכת ההפעלה הספציפית. יתר על כן, השרת הנגוע נכלל ברשימת המערכות שנפרצות של התוכנה הזדונית. לאחר מכן, התוכנה הזדונית משלבת את השרת הנגוע ברשת עמית לעמית שלו, ומקלה על הפצת מטענים זדוניים לשרתי Redis שנפגעו בעתיד.

חוקרים שחקרו את P2PInfect חשפו גם דגימה שהדגימה תאימות בין פלטפורמות, מה שמצביע על כך שהתוכנה הזדונית תוכננה לכוון הן לסביבות Windows והן לסביבות לינוקס. הדוגמה הספציפית הזו הכילה קבצים בינאריים ניידים (PE) ו-ELF, המאפשרים לו לפעול על שתי מערכות ההפעלה בצורה חלקה. באופן מעניין, גרסה זו השתמשה בשיטה שונה של גישה ראשונית, תוך מינוף תכונת השכפול של Redis, המאפשרת ליצור העתקים מדויקים של מופע Redis הראשי/מוביל.

תוכנת זדונית P2Pinfect מפיצה ומוסיפה את המערכות שנפגעו ל-Botnet

המטען העיקרי של התוכנה הזדונית הוא ELF בינארי, שנכתב בחוכמה בשילוב של שפות תכנות C ו-Rust. עם הביצוע, זה מפעיל את רכיב Rust של המטען להשתלט.

לאחר ההפעלה, הבינארי ממשיך לבצע שינויים קריטיים בתצורת SSH במארח הממוקד. הוא משנה את תצורת שרת OpenSSH כך שתדמה למצב כמעט ברירת מחדל, מעניק לתוקף גישה לשרת באמצעות פרוטוקול המעטפת המאובטחת (SSH) ומאפשר אימות סיסמה. לאחר מכן, שחקן האיום מפעיל מחדש את שירות SSH ומוסיף מפתח SSH לרשימת המפתחות המורשים עבור המשתמש הנוכחי, מה שמבטיח גישה ללא הפרעה למערכת שנפרצה.

בשלב הבא, התוקף פורס סקריפט bash כדי לתפעל את שמות הקבצים הבינאריים wget וה-curl. הסקריפט גם מאמת את נוכחותם של כלי עזר ספציפיים ומתקין אותם אם הם עדיין לא זמינים. נראה שהשימוש בכלי עזר לחומת אש הוא אמצעי המופעל על ידי התוכנה הזדונית כדי להגן על שרת Redis הפגיע מפני תוקפים פוטנציאליים אחרים. התוכנה הזדונית מייצרת התמדה על המארח שנפרץ, ומבטיחה את פעולתו הרציפה.

לאחר מכן, השרת הנגוע מצויד בלפחות בינארי אחד המסוגל לסרוק דרך ספריית /proc ולגשת לסטטיסטיקה עבור כל תהליך בו. בנוסף, הבינארי יכול לנטר באופן פעיל את ספריית /proc עבור כל שינוי.

יתרה מזאת, לבינארי יש את היכולת לשדרג את הבינארי התוכנה הזדונית הראשית ולהפעיל אותו אם החתימה הנוכחית אינה תואמת לזו שאוחזרת מהבוטנט.

על ידי התייחסות לכל שרת Redis שנפגע כצומת, P2PInfect הופך את הרשת לבוטנט עמית לעמית. רשת בוט זה פועלת ללא צורך בשרת פיקוד ושליטה מרכזי (C2), ומעניקה לו את היכולת לקבל הוראות באופן אוטונומי.