P2Pinfect rosszindulatú program

A fenyegetés szereplői támadásokat hajtanak végre az SSH és a Redis, egy nyílt forráskódú adattár sebezhető példányai ellen. Ezek a csaló szereplők a P2Pinfect néven ismert, egyenrangú önreplikáló férget használnak, amelynek Windows és Linux operációs rendszerekhez egyaránt tervezett verziói vannak.

A Rust programozási nyelven kifejlesztett P2Pinfect malware legalább két módszert használ a célrendszerekhez való kezdeti hozzáféréshez. Az első módszer egy kritikus biztonsági rést használ ki, amelyet 2022-ben tártak fel és javítottak ki. A második módszer a Redis egy olyan funkcióját használja ki, amely lehetővé teszi a fő adatbázis replikációját a magasabb szintű rendelkezésre állás és a feladatátvételi forgatókönyvek elleni küzdelem érdekében.

A P2Pinfect malware különböző fertőzési vektorokat használ

Kezdetben a P2PInfect a CVE-2022-0543 jelzésű kritikus biztonsági rést használta ki, amelynek maximális súlyossági pontszáma 10-ből 10 volt. Ez a biztonsági hiba kifejezetten a Debian rendszereket érintette, és egy csomagolási problémából eredő LUA sandbox-menekülési sebezhetőségére vonatkozott. A biztonsági rés kihasználása távoli kódvégrehajtási lehetőségeket biztosított, ami jelentős veszélyt jelent az érintett rendszerekre.

Amint egy sebezhető Redis-példány egy kezdeti hasznos adattal feltört, a P2PInfect letölti az adott operációs rendszerre szabott új szkripteket és rosszindulatú binárisokat. Ezenkívül a fertőzött szerver szerepel a rosszindulatú programok feltört rendszerek listáján. Ezt követően a kártevő integrálja a fertőzött szervert a peer-to-peer hálózatába, megkönnyítve a rosszindulatú rakományok terjesztését a jövőbeli feltört Redis szerverekre.

A P2PInfect-et vizsgáló kutatók egy olyan mintát is feltártak, amely platformok közötti kompatibilitást mutatott, jelezve, hogy a kártevőt úgy tervezték, hogy Windows és Linux környezetet is megcélozzon. Ez a konkrét minta hordozható végrehajtható (PE) és ELF binárisokat tartalmazott, lehetővé téve, hogy mindkét operációs rendszeren zökkenőmentesen működjön. Érdekes módon ez a változat a kezdeti hozzáférés más módszerét alkalmazta, kihasználva a Redis replikációs szolgáltatását, amely lehetővé teszi a fő/vezető Redis-példány pontos replikáinak előállítását.

A P2Pinfect rosszindulatú program elterjed, és a feltört rendszereket hozzáadja egy botnethez

A rosszindulatú program elsődleges rakománya egy ELF bináris, amely ügyesen C és Rust programozási nyelvek kombinációjával van megírva. Végrehajtáskor elindítja a hasznos teher Rust komponensének átvételét.

Az aktiválás után a bináris fájl kritikus változtatásokat hajt végre a megcélzott gazdagép SSH-konfigurációjában. Módosítja az OpenSSH-kiszolgáló konfigurációját, hogy az egy majdnem alapértelmezett állapothoz hasonlítson, hozzáférést biztosít a támadónak a kiszolgálóhoz a Secure Shell (SSH) protokollon keresztül, és engedélyezi a jelszavas hitelesítést. Ezután a fenyegetettség szereplője újraindítja az SSH-szolgáltatást, és hozzáad egy SSH-kulcsot az aktuális felhasználó engedélyezett kulcsainak listájához, így biztosítva az akadálytalan hozzáférést a feltört rendszerhez.

A következő fázisban a támadó egy bash szkriptet telepít a wget és curl binárisok nevének manipulálására. A szkript bizonyos segédprogramok jelenlétét is ellenőrzi, és telepíti azokat, ha még nem állnak rendelkezésre. A tűzfal-segédprogram használata a rosszindulatú program által alkalmazott intézkedésnek tűnik, hogy megvédje a sebezhető Redis-kiszolgálót a többi potenciális támadótól. A rosszindulatú program állandóságot hoz létre a feltört gazdagépen, biztosítva annak folyamatos működését.

Ezt követően a fertőzött kiszolgáló fel van szerelve legalább egy binárissal, amely képes átvizsgálni a /proc könyvtárat, és hozzáférni a benne lévő egyes folyamatok statisztikájához. Ezenkívül a bináris fájl aktívan figyelheti a /proc könyvtárat az esetleges változások miatt.

Ezenkívül a bináris képes frissíteni az elsődleges rosszindulatú bináris fájlt, és végrehajtani azt, ha az aktuális aláírás nem egyezik a botnetről letöltött aláírással.

Azáltal, hogy minden egyes feltört Redis-kiszolgálót csomópontként kezel, a P2PInfect a hálózatot peer-to-peer botnetté alakítja. Ez a botnet központosított Command-and-Control (C2) szerver nélkül működik, lehetővé téve számára az utasítások önálló fogadását.