មេរោគ P2Pinfect

តួអង្គគំរាមកំហែងកំពុងធ្វើការវាយប្រហារលើករណីដែលងាយរងគ្រោះនៃ SSH និង Redis ដែលជាកន្លែងផ្ទុកទិន្នន័យប្រភពបើកចំហ។ តួអង្គក្លែងបន្លំទាំងនេះកំពុងប្រើប្រាស់ដង្កូវចម្លងដោយខ្លួនឯងពីមិត្តភ័ក្តិដែលស្គាល់ថា P2Pinfect ដែលមានកំណែដែលបានរចនាឡើងសម្រាប់ទាំងប្រព័ន្ធប្រតិបត្តិការ Windows និង Linux ។

បង្កើតឡើងក្នុងភាសាសរសេរកម្មវិធី Rust មេរោគ P2Pinfect ប្រើប្រាស់យ៉ាងហោចណាស់វិធីសាស្រ្តពីរដើម្បីទទួលបានការចូលដំណើរការដំបូងទៅកាន់ប្រព័ន្ធគោលដៅ។ វិធីសាស្ត្រទីមួយទាញយកភាពងាយរងគ្រោះដ៏សំខាន់ដែលត្រូវបានបង្ហាញ និងជួសជុលនៅឆ្នាំ 2022។ វិធីសាស្ត្រទីពីរទាញយកអត្ថប្រយោជន៍ពីលក្ខណៈពិសេសមួយនៅក្នុង Redis ដែលអនុញ្ញាតឱ្យការចម្លងនៃមូលដ្ឋានទិន្នន័យចម្បងសម្រាប់ការធ្វើឱ្យប្រសើរឡើងនូវភាពអាចរកបានខ្ពស់ និងដើម្បីប្រឆាំងនឹងសេណារីយ៉ូបរាជ័យ។

P2Pinfect Malware ប្រើវ៉ិចទ័រឆ្លងផ្សេងៗ

ដំបូងឡើយ P2PInfect បានដាក់អក្សរធំលើភាពងាយរងគ្រោះសំខាន់ដែលត្រូវបានកំណត់ថាជា CVE-2022-0543 ដែលមានពិន្ទុភាពធ្ងន់ធ្ងរអតិបរមា 10 ក្នុងចំណោម 10 ។ កំហុសសុវត្ថិភាពនេះប៉ះពាល់ជាពិសេសទៅលើប្រព័ន្ធ Debian និងពាក់ព័ន្ធនឹងភាពងាយរងគ្រោះដែលគេចចេញពី LUA sandbox ដែលបណ្តាលមកពីបញ្ហាវេចខ្ចប់។ ការកេងប្រវ័ញ្ចលើភាពងាយរងគ្រោះនេះបានផ្តល់សមត្ថភាពប្រតិបត្តិកូដពីចម្ងាយ ដែលបង្កការគំរាមកំហែងយ៉ាងសំខាន់ដល់ប្រព័ន្ធដែលរងផលប៉ះពាល់។

នៅពេលដែលឧទាហរណ៍ Redis ងាយរងគ្រោះត្រូវបានសម្របសម្រួលដោយប្រើបន្ទុកដំបូង P2PInfect បន្តទាញយកស្គ្រីបថ្មី និងប្រព័ន្ធគោលពីរព្យាបាទដែលតម្រូវសម្រាប់ប្រព័ន្ធប្រតិបត្តិការជាក់លាក់។ លើស​ពី​នេះ​ទៅ​ទៀត ម៉ាស៊ីន​មេ​ដែល​ឆ្លង​មេរោគ​ត្រូវ​បាន​បញ្ចូល​ក្នុង​បញ្ជី​ប្រព័ន្ធ​ដែល​រង​ការ​បំផ្លាញ​របស់​មេរោគ។ ក្រោយមក មេរោគរួមបញ្ចូលម៉ាស៊ីនមេដែលមានមេរោគទៅក្នុងបណ្តាញមិត្តភ័ក្តិរបស់វា ដែលជួយសម្រួលដល់ការផ្សព្វផ្សាយនៃបន្ទុកព្យាបាទទៅកាន់ម៉ាស៊ីនមេ Redis ដែលត្រូវបានសម្របសម្រួលនាពេលអនាគត។

អ្នកស្រាវជ្រាវដែលស៊ើបអង្កេត P2PInfect ក៏បានរកឃើញគំរូដែលបង្ហាញពីភាពឆបគ្នាឆ្លងវេទិកា ដែលបង្ហាញថាមេរោគត្រូវបានរចនាឡើងដើម្បីកំណត់គោលដៅទាំងបរិស្ថាន Windows និង Linux ។ គំរូពិសេសនេះមានផ្ទុកនូវ Portable Executable (PE) និង ELF binaries ដែលអនុញ្ញាតឱ្យវាដំណើរការលើប្រព័ន្ធប្រតិបត្តិការទាំងពីរយ៉ាងរលូន។ គួរឱ្យចាប់អារម្មណ៍ វ៉ារ្យ៉ង់នេះបានប្រើប្រាស់វិធីសាស្រ្តផ្សេងគ្នានៃការចូលប្រើដំបូង ដោយប្រើប្រាស់មុខងារចម្លងរបស់ Redis ដែលអនុញ្ញាតឱ្យបង្កើតការចម្លងពិតប្រាកដនៃឧទាហរណ៍ Redis មេ/អ្នកដឹកនាំ។

មេរោគ P2Pinfect រីករាលដាល និងបន្ថែមប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលទៅ Botnet

បន្ទុកចម្បងនៃមេរោគគឺប្រព័ន្ធគោលពីរ ELF ដែលសរសេរយ៉ាងឆ្លាតវៃក្នុងការរួមបញ្ចូលគ្នានៃភាសាសរសេរកម្មវិធី C និង Rust ។ នៅពេលប្រតិបត្តិ វាបង្កឱ្យធាតុផ្សំ Rust នៃ payload ដើម្បីគ្រប់គ្រង។

នៅពេលដែលបានធ្វើឱ្យសកម្ម ប្រព័ន្ធគោលពីរបន្តធ្វើការកែប្រែយ៉ាងសំខាន់ចំពោះការកំណត់រចនាសម្ព័ន្ធ SSH នៅលើម៉ាស៊ីនគោលដៅ។ វាកែប្រែការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ OpenSSH ឱ្យស្រដៀងទៅនឹងស្ថានភាពលំនាំដើម ដែលផ្តល់ឱ្យអ្នកវាយប្រហារចូលទៅកាន់ម៉ាស៊ីនមេតាមរយៈពិធីការសែលសុវត្ថិភាព (SSH) និងបើកការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់។ បន្ទាប់មក ភ្នាក់ងារគំរាមកំហែងចាប់ផ្តើមសេវាកម្ម SSH ឡើងវិញ ហើយបន្ថែមសោ SSH ទៅក្នុងបញ្ជីនៃកូនសោដែលមានការអនុញ្ញាតសម្រាប់អ្នកប្រើប្រាស់បច្ចុប្បន្ន ដោយធានាឱ្យមានការចូលប្រើប្រាស់ប្រព័ន្ធដែលមិនមានការរារាំង។

នៅដំណាក់កាលបន្តបន្ទាប់ អ្នកវាយប្រហារដាក់ពង្រាយ bash script ដើម្បីរៀបចំឈ្មោះ wget និង curl binaries ។ ស្គ្រីបក៏ផ្ទៀងផ្ទាត់វត្តមាននៃឧបករណ៍ប្រើប្រាស់ជាក់លាក់ និងដំឡើងពួកវាផងដែរ ប្រសិនបើវាមិនអាចប្រើបាន។ ការប្រើប្រាស់ឧបករណ៍ប្រើប្រាស់ជញ្ជាំងភ្លើង ហាក់ដូចជាវិធានការមួយដែលត្រូវបានប្រើប្រាស់ដោយមេរោគ ដើម្បីការពារម៉ាស៊ីនមេ Redis ដែលងាយរងគ្រោះពីអ្នកវាយប្រហារសក្តានុពលផ្សេងទៀត។ មេរោគបង្កើតភាពជាប់លាប់នៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល ដោយធានានូវប្រតិបត្តិការជាបន្តបន្ទាប់របស់វា។

ក្រោយមកម៉ាស៊ីនមេដែលមានមេរោគត្រូវបានបំពាក់ដោយប្រព័ន្ធគោលពីរយ៉ាងតិចមួយដែលអាចស្កេនតាមរយៈថត / proc និងចូលប្រើស្ថិតិសម្រាប់ដំណើរការនីមួយៗនៅក្នុងនោះ។ លើសពីនេះទៀតប្រព័ន្ធគោលពីរអាចត្រួតពិនិត្យយ៉ាងសកម្មនូវថត /proc សម្រាប់ការផ្លាស់ប្តូរណាមួយ។

លើសពីនេះ ប្រព័ន្ធគោលពីរមានសមត្ថភាពក្នុងការធ្វើឱ្យប្រសើរឡើងប្រព័ន្ធគោលពីរនៃមេរោគចម្បង ហើយប្រតិបត្តិវាប្រសិនបើហត្ថលេខាបច្ចុប្បន្នមិនត្រូវគ្នានឹងអ្វីដែលបានទាញយកពី botnet ។

ដោយចាត់ទុកម៉ាស៊ីនមេ Redis នីមួយៗដែលត្រូវបានសម្របសម្រួលជាថ្នាំង P2PInfect បំប្លែងបណ្តាញទៅជា botnet ពីមិត្តភ័ក្តិ។ botnet នេះដំណើរការដោយមិនចាំបាច់មានម៉ាស៊ីនមេ Command-and-Control (C2) ដែលផ្តល់លទ្ធភាពឱ្យវាទទួលបានការណែនាំដោយស្វ័យភាព។