P2Pinfect Malware

Akteri prijetnji provode napade na ranjive instance SSH-a i Redisa, pohranu podataka otvorenog koda. Ovi prevaranti koriste peer-to-peer samoreplicirajućeg crva poznatog kao P2Pinfect, koji ima verzije dizajnirane za Windows i Linux operativne sustave.

Razvijen u programskom jeziku Rust, zlonamjerni softver P2Pinfect koristi najmanje dvije metode za dobivanje početnog pristupa ciljnim sustavima. Prva metoda iskorištava kritičnu ranjivost koja je otkrivena i zakrpana 2022. Druga metoda iskorištava značajku unutar Redisa koja omogućuje replikaciju glavne baze podataka za poboljšanu visoku dostupnost i za sprječavanje scenarija prelaska u grešku.

Zlonamjerni softver P2Pinfect koristi različite vektore infekcije

U početku je P2PInfect iskoristio kritičnu ranjivost identificiranu kao CVE-2022-0543, koja je imala maksimalnu ocjenu ozbiljnosti 10 od 10. Ovaj sigurnosni propust posebno je utjecao na Debian sustave i odnosio se na ranjivost escape LUA sandboxa koja je nastala kao posljedica problema s pakiranjem. Iskorištavanje ove ranjivosti dodijelilo je mogućnosti daljinskog izvršavanja koda, što predstavlja značajnu prijetnju pogođenim sustavima.

Nakon što je ranjiva Redis instanca ugrožena korištenjem početnog korisnog opterećenja, P2PInfect nastavlja s preuzimanjem novih skripti i zlonamjernih binarnih datoteka prilagođenih za određeni operativni sustav. Nadalje, zaraženi poslužitelj uvršten je na popis ugroženih sustava zlonamjernog softvera. Nakon toga, zlonamjerni softver integrira zaraženi poslužitelj u njegovu peer-to-peer mrežu, olakšavajući širenje zlonamjernog sadržaja na buduće kompromitirane Redis poslužitelje.

Istraživači koji su istraživali P2PInfect također su otkrili uzorak koji je pokazao kompatibilnost s više platformi, što ukazuje da je zlonamjerni softver dizajniran za ciljanje i Windows i Linux okruženja. Ovaj određeni uzorak sadržavao je Portable Executable (PE) i ELF binarne datoteke, što mu je omogućilo nesmetan rad na oba operacijska sustava. Zanimljivo je da je ova varijanta koristila drugačiju metodu početnog pristupa, koristeći značajku Redis replikacije, koja omogućuje generiranje točnih replika glavne/vodeće instance Redisa.

Zlonamjerni softver P2Pinfect širi i dodaje kompromitirane sustave u botnet

Primarno opterećenje zlonamjernog softvera je ELF binarni, pametno napisan u kombinaciji programskih jezika C i Rust. Nakon izvršenja pokreće Rust komponentu korisnog opterećenja da preuzme.

Jednom aktivirana, binarna datoteka nastavlja s kritičnim izmjenama SSH konfiguracije na ciljanom hostu. Modificira konfiguraciju poslužitelja OpenSSH tako da sliči gotovo zadanom stanju, dopuštajući napadaču pristup poslužitelju putem protokola sigurnog omotača (SSH) i omogućavajući autentifikaciju lozinke. Zatim akter prijetnje ponovno pokreće SSH uslugu i dodaje SSH ključ na popis ovlaštenih ključeva za trenutnog korisnika, osiguravajući nesmetan pristup ugroženom sustavu.

U sljedećoj fazi, napadač implementira bash skriptu za manipulaciju imenima binarnih datoteka wget i curl. Skripta također provjerava prisutnost određenih uslužnih programa i instalira ih ako već nisu dostupni. Čini se da je korištenje uslužnog programa vatrozida mjera koju koristi zlonamjerni softver kako bi zaštitio ranjivi Redis poslužitelj od drugih potencijalnih napadača. Zlonamjerni softver uspostavlja postojanost na kompromitiranom hostu, osiguravajući njegov kontinuirani rad.

Nakon toga, zaraženi poslužitelj opremljen je barem jednom binarnom datotekom koja može skenirati /proc direktorij i pristupiti statistici za svaki proces u njemu. Dodatno, binarna datoteka može aktivno nadzirati /proc direktorij za bilo kakve promjene.

Nadalje, binarna datoteka ima mogućnost nadogradnje primarne binarne datoteke zlonamjernog softvera i njezinog izvršenja ako trenutni potpis ne odgovara onom dohvaćenom s botneta.

Tretirajući svaki kompromitirani Redis poslužitelj kao čvor, P2PInfect pretvara mrežu u peer-to-peer botnet. Ovaj botnet radi bez potrebe za centraliziranim Command-and-Control (C2) poslužiteljem, što mu daje mogućnost da samostalno prima upute.