P2Pinfect 멀웨어

위협 행위자는 오픈 소스 데이터 저장소인 SSH 및 Redis의 취약한 인스턴스에 대한 공격을 수행하고 있습니다. 이러한 사기 행위자는 Windows 및 Linux 운영 체제용으로 설계된 버전이 있는 P2Pinfect로 알려진 P2P 자기 복제 웜을 사용하고 있습니다.

Rust 프로그래밍 언어로 개발된 P2Pinfect 맬웨어는 대상 시스템에 대한 초기 액세스 권한을 얻기 위해 최소 두 가지 방법을 사용합니다. 첫 번째 방법은 2022년에 공개 및 패치된 치명적인 취약점을 악용합니다. 두 번째 방법은 고가용성을 개선하고 장애 조치 시나리오에 대응하기 위해 기본 데이터베이스의 복제를 가능하게 하는 Redis 내의 기능을 활용합니다.

P2Pinfect 멀웨어는 다른 감염 벡터를 사용합니다.

처음에 P2PInfect는 최대 심각도 점수가 10점 만점에 10점인 CVE-2022-0543으로 식별된 치명적인 취약점을 이용했습니다. 이 보안 결함은 특히 데비안 시스템에 영향을 미쳤으며 패키징 문제로 인한 LUA 샌드박스 이스케이프 취약점과 관련이 있습니다. 이 취약점을 악용하면 원격 코드 실행 기능이 부여되어 영향을 받는 시스템에 심각한 위협이 됩니다.

취약한 Redis 인스턴스가 초기 페이로드를 사용하여 손상되면 P2PInfect는 특정 운영 체제에 맞게 조정된 새로운 스크립트 및 악성 바이너리를 다운로드합니다. 또한 감염된 서버는 맬웨어의 손상된 시스템 목록에 포함됩니다. 이후 악성코드는 감염된 서버를 P2P 네트워크에 통합하여 향후 손상된 Redis 서버에 악성 페이로드를 쉽게 유포합니다.

P2PInfect를 조사하는 연구원들은 플랫폼 간 호환성을 보여주는 샘플도 발견했으며, 이는 악성코드가 Windows 및 Linux 환경을 모두 대상으로 하도록 설계되었음을 나타냅니다. 이 특정 샘플에는 PE(Portable Executable) 및 ELF 바이너리가 포함되어 있어 두 운영 체제에서 원활하게 작동할 수 있습니다. 흥미롭게도 이 변종은 Redis 복제 기능을 활용하여 다른 초기 액세스 방법을 사용하여 주/리더 Redis 인스턴스의 정확한 복제본을 생성할 수 있습니다.

P2Pinfect 멀웨어 확산 및 봇넷에 손상된 시스템 추가

맬웨어의 기본 페이로드는 C와 Rust 프로그래밍 언어의 조합으로 교묘하게 작성된 ELF 바이너리입니다. 실행 시 페이로드의 Rust 구성 요소가 인계하도록 트리거합니다.

일단 활성화되면 바이너리는 대상 호스트의 SSH 구성에 중요한 변경을 진행합니다. OpenSSH 서버 구성을 거의 기본 상태와 유사하게 수정하여 SSH(Secure Shell) 프로토콜을 통해 공격자에게 서버에 대한 액세스 권한을 부여하고 암호 인증을 활성화합니다. 다음으로 위협 행위자는 SSH 서비스를 다시 시작하고 현재 사용자의 인증된 키 목록에 SSH 키를 추가하여 손상된 시스템에 대한 방해받지 않는 액세스를 보장합니다.

후속 단계에서 공격자는 bash 스크립트를 배포하여 wget 및 curl 바이너리의 이름을 조작합니다. 스크립트는 또한 특정 유틸리티가 있는지 확인하고 아직 사용할 수 없는 경우 설치합니다. 방화벽 유틸리티의 사용은 다른 잠재적인 공격자로부터 취약한 Redis 서버를 보호하기 위해 맬웨어가 사용하는 조치인 것으로 보입니다. 맬웨어는 손상된 호스트에서 지속성을 설정하여 지속적인 작업을 보장합니다.

그 후, 감염된 서버는 /proc 디렉토리를 통해 검색할 수 있고 각 프로세스에 대한 통계에 액세스할 수 있는 최소 하나의 바이너리를 갖추고 있습니다. 또한 바이너리는 모든 변경 사항에 대해 /proc 디렉터리를 능동적으로 모니터링할 수 있습니다.

또한 바이너리는 기본 맬웨어 바이너리를 업그레이드하고 현재 서명이 봇넷에서 검색된 서명과 일치하지 않는 경우 실행할 수 있는 기능을 가지고 있습니다.

손상된 각 Redis 서버를 노드로 취급함으로써 P2PInfect는 네트워크를 P2P 봇넷으로 변환합니다. 이 봇넷은 중앙 집중식 명령 및 제어(C2) 서버 없이 작동하여 자율적으로 명령을 수신할 수 있는 기능을 부여합니다.