मल्टी-लाइसेंस छूट
Threat Database Malware P2Pinfect मैलवेयर

P2Pinfect मैलवेयर

Mezo से Malware, Botnets, Worms तक
अनुवाद करने के लिए:
हिन्दी

खतरनाक अभिनेता एसएसएच और रेडिस, एक ओपन-सोर्स डेटा स्टोर के कमजोर उदाहरणों पर हमले कर रहे हैं। ये धोखेबाज़ अभिनेता एक पीयर-टू-पीयर सेल्फ-रेप्लिकेटिंग वर्म का उपयोग कर रहे हैं जिसे P2Pinfect के नाम से जाना जाता है, जिसके संस्करण विंडोज और लिनक्स दोनों ऑपरेटिंग सिस्टम के लिए डिज़ाइन किए गए हैं।

रस्ट प्रोग्रामिंग भाषा में विकसित, P2Pinfect मैलवेयर लक्ष्य प्रणालियों तक प्रारंभिक पहुंच प्राप्त करने के लिए कम से कम दो तरीकों का उपयोग करता है। पहली विधि एक महत्वपूर्ण भेद्यता का फायदा उठाती है जिसे 2022 में प्रकट और पैच किया गया था। दूसरी विधि रेडिस के भीतर एक सुविधा का लाभ उठाती है जो बेहतर उच्च उपलब्धता के लिए और विफलता परिदृश्यों का मुकाबला करने के लिए मुख्य डेटाबेस की प्रतिकृति को सक्षम बनाती है।

P2Pinfect मैलवेयर विभिन्न संक्रमण वैक्टर का उपयोग करता है

प्रारंभ में, P2PInfect ने CVE-2022-0543 के रूप में पहचानी गई एक महत्वपूर्ण भेद्यता का फायदा उठाया, जिसका अधिकतम गंभीरता स्कोर 10 में से 10 था। इस सुरक्षा दोष ने विशेष रूप से डेबियन सिस्टम को प्रभावित किया और पैकेजिंग समस्या के परिणामस्वरूप LUA सैंडबॉक्स एस्केप भेद्यता से संबंधित था। इस भेद्यता के शोषण ने दूरस्थ कोड निष्पादन क्षमताओं को प्रदान किया, जिससे प्रभावित प्रणालियों के लिए एक महत्वपूर्ण खतरा पैदा हो गया।

एक बार प्रारंभिक पेलोड का उपयोग करके एक कमजोर रेडिस इंस्टेंस से समझौता कर लिया जाता है, तो P2PInfect विशिष्ट ऑपरेटिंग सिस्टम के लिए तैयार की गई नई स्क्रिप्ट और दुर्भावनापूर्ण बायनेरिज़ डाउनलोड करने के लिए आगे बढ़ता है। इसके अलावा, संक्रमित सर्वर को मैलवेयर की समझौता किए गए सिस्टम की सूची में सूचीबद्ध किया गया है। इसके बाद, मैलवेयर संक्रमित सर्वर को अपने पीयर-टू-पीयर नेटवर्क में एकीकृत करता है, जिससे भविष्य में समझौता किए गए रेडिस सर्वरों में दुर्भावनापूर्ण पेलोड के प्रसार की सुविधा मिलती है।

P2PInfect की जांच करने वाले शोधकर्ताओं ने एक नमूना भी उजागर किया जो क्रॉस-प्लेटफॉर्म संगतता प्रदर्शित करता है, यह दर्शाता है कि मैलवेयर विंडोज और लिनक्स दोनों वातावरणों को लक्षित करने के लिए डिज़ाइन किया गया था। इस विशेष नमूने में पोर्टेबल एक्ज़ीक्यूटेबल (पीई) और ईएलएफ बायनेरिज़ शामिल थे, जो इसे दोनों ऑपरेटिंग सिस्टम पर निर्बाध रूप से काम करने की अनुमति देता था। दिलचस्प बात यह है कि इस संस्करण ने रेडिस प्रतिकृति सुविधा का लाभ उठाते हुए प्रारंभिक पहुंच की एक अलग विधि को नियोजित किया, जो मुख्य/लीडर रेडिस उदाहरण की सटीक प्रतिकृतियां उत्पन्न करने में सक्षम बनाता है।

P2Pinfect मैलवेयर फैलता है और समझौता किए गए सिस्टम को बॉटनेट में जोड़ता है

मैलवेयर का प्राथमिक पेलोड एक ईएलएफ बाइनरी है, जिसे चतुराई से सी और रस्ट प्रोग्रामिंग भाषाओं के संयोजन में लिखा गया है। निष्पादन पर, यह पेलोड के रस्ट घटक को कार्यभार संभालने के लिए ट्रिगर करता है।

एक बार सक्रिय होने पर, बाइनरी लक्षित होस्ट पर एसएसएच कॉन्फ़िगरेशन में महत्वपूर्ण परिवर्तन करने के लिए आगे बढ़ती है। यह ओपनएसएसएच सर्वर कॉन्फ़िगरेशन को लगभग डिफ़ॉल्ट स्थिति के समान संशोधित करता है, हमलावर को सुरक्षित शेल (एसएसएच) प्रोटोकॉल के माध्यम से सर्वर तक पहुंच प्रदान करता है और पासवर्ड प्रमाणीकरण सक्षम करता है। इसके बाद, धमकी देने वाला अभिनेता एसएसएच सेवा को पुनरारंभ करता है और वर्तमान उपयोगकर्ता के लिए अधिकृत कुंजी की सूची में एक एसएसएच कुंजी जोड़ता है, जिससे समझौता किए गए सिस्टम तक निर्बाध पहुंच सुनिश्चित होती है।

बाद के चरण में, हमलावर wget और कर्ल बायनेरिज़ के नामों में हेरफेर करने के लिए एक बैश स्क्रिप्ट तैनात करता है। स्क्रिप्ट विशिष्ट उपयोगिताओं की उपस्थिति की भी पुष्टि करती है और यदि वे पहले से उपलब्ध नहीं हैं तो उन्हें स्थापित करती है। फ़ायरवॉल उपयोगिता का उपयोग, अन्य संभावित हमलावरों से कमजोर रेडिस सर्वर की सुरक्षा के लिए मैलवेयर द्वारा नियोजित एक उपाय प्रतीत होता है। मैलवेयर समझौता किए गए होस्ट पर दृढ़ता स्थापित करता है, जिससे उसका निरंतर संचालन सुनिश्चित होता है।

इसके बाद, संक्रमित सर्वर कम से कम एक बाइनरी से लैस होता है जो /proc निर्देशिका के माध्यम से स्कैन करने और उसमें प्रत्येक प्रक्रिया के लिए स्टेट तक पहुंचने में सक्षम होता है। इसके अतिरिक्त, बाइनरी किसी भी बदलाव के लिए /proc निर्देशिका की सक्रिय रूप से निगरानी कर सकती है।

इसके अलावा, बाइनरी में प्राथमिक मैलवेयर बाइनरी को अपग्रेड करने और इसे निष्पादित करने की क्षमता होती है यदि वर्तमान हस्ताक्षर बॉटनेट से प्राप्त हस्ताक्षर से मेल नहीं खाता है।

प्रत्येक समझौता किए गए Redis सर्वर को एक नोड के रूप में मानकर, P2PInfect नेटवर्क को एक पीयर-टू-पीयर बॉटनेट में बदल देता है। यह बॉटनेट एक केंद्रीकृत कमांड-एंड-कंट्रोल (सी2) सर्वर की आवश्यकता के बिना संचालित होता है, जो इसे स्वायत्त रूप से निर्देश प्राप्त करने की क्षमता प्रदान करता है।

रुझान

Triovideo.ru

Browser Hijackers
Triovideo.ru एक संदिग्ध वेबसाइट है जो उन घटकों के कारण स्वचालित रूप से लोड हो सकती है जो या तो बंडल किए गए सॉफ़्टवेयर के साथ डाउनलोड किए गए थे या इंटरनेट सेटिंग्स को संशोधित करने के लिए फ्रीवेयर...

Elibe Ransomware

Ransomware
Elibe Ransomware की विशेषता यह है कि वह फाइलों को एन्क्रिप्ट कर उनके नाम के साथ ".elibe" जोड़ देता है, जिससे डेटा पीड़ितों के लिए पहुंच से बाहर हो जाता है। एलीब रैंसमवेयर, अपने कई समकक्षों की तरह,...

Campo Loader

Malware
कैंपो लोडर (या एनएलओडर) एक मैलवेयर खतरा है जिसका लाभ जापानी संस्थाओं के खिलाफ हमले के अभियानों में लगाया जा रहा है। कैंपो लोडर पहले से ही समझौता किए गए कंप्यूटरों पर वास्तविक मैलवेयर पेलोड वितरित...

सबसे ज्यादा देखा गया

क्या Lookmovie.io सुरक्षित है? स्क्रीनशॉट

क्या Lookmovie.io सुरक्षित है?

Issue
29,393
Lookmovie.io एक वीडियो स्ट्रीमिंग साइट है। समस्या यह है कि वहां अवैध रूप से स्ट्रीमिंग के लिए सामग्री की पेशकश की जा रही है। इसके अलावा, साइट दुष्ट विज्ञापन नेटवर्क के माध्यम से मौद्रिक लाभ उत्पन्न...

'प्रिंटर ड्राइवर अनुपलब्ध है' त्रुटि को कैसे ठीक करें?

Issue
24,877
जब भी उपयोगकर्ता को इसकी सबसे अधिक आवश्यकता होती है, तो प्रिंटर अपना काम करने से मना करने के लिए कुख्यात होते हैं। सौभाग्य से, यदि आपका प्रिंटर प्रिंटर ड्राइवर अनुपलब्ध है' त्रुटि प्रदर्शित कर रहा...
स्क्रीन साझा करते समय कलह काली स्क्रीन दिखाता है स्क्रीनशॉट

स्क्रीन साझा करते समय कलह काली स्क्रीन दिखाता है

Issue
23,910
जब यह पहली बार लॉन्च हुआ, तो डिस्कोर्ड गेमिंग समुदाय की ओर एक वीओआईपी प्लेटफॉर्म था। हालाँकि, बाद के वर्षों में, इसने अपने दायरे का विस्तार किया, कई नई सुविधाएँ जोड़ीं, और 140 मिलियन से अधिक सक्रिय...
लोड हो रहा है...