P2Pinfect kenkėjiška programa

Grėsmių dalyviai atakuoja pažeidžiamus SSH ir „Redis“, atvirojo kodo duomenų saugyklos, atvejus. Šie nesąžiningi veikėjai naudoja lygiavertį savaime besidauginantį kirminą, žinomą kaip P2Pinfect, kurio versijos sukurtos ir Windows, ir Linux operacinėms sistemoms.

Sukurta Rust programavimo kalba, P2Pinfect kenkėjiška programa naudoja mažiausiai du būdus, kad gautų pradinę prieigą prie tikslinių sistemų. Pirmasis metodas išnaudoja kritinį pažeidžiamumą, kuris buvo atskleistas ir pataisytas 2022 m. Antrasis metodas pasinaudoja „Redis“ funkcija, leidžiančia replikuoti pagrindinę duomenų bazę, kad būtų pagerintas aukštas pasiekiamumas ir būtų išvengta pertrūkių scenarijų.

P2Pinfect kenkėjiška programa naudoja skirtingus infekcijos vektorius

Iš pradžių P2PInfect pasinaudojo kritiniu pažeidžiamumu, identifikuotu kaip CVE-2022-0543, kurio didžiausias sunkumo balas buvo 10 iš 10. Ši saugos klaida konkrečiai paveikė Debian sistemas ir buvo susijusi su LUA smėlio dėžės pažeidžiamumu, atsiradusiu dėl pakavimo problemos. Išnaudojus šį pažeidžiamumą, buvo suteikta nuotolinio kodo vykdymo galimybė, o tai kelia didelę grėsmę paveiktoms sistemoms.

Kai pažeidžiamas Redis egzempliorius yra pažeistas naudojant pradinę naudingąją apkrovą, P2PInfect atsisiunčia naujų scenarijų ir kenkėjiškų dvejetainių failų, pritaikytų konkrečiai operacinei sistemai. Be to, užkrėstas serveris yra įtrauktas į kenkėjiškų programų pažeistų sistemų sąrašą. Vėliau kenkėjiška programa integruoja užkrėstą serverį į savo lygiavertį tinklą, palengvindama kenkėjiškų krovinių platinimą į būsimus pažeistus Redis serverius.

Tyrėjai, tiriantys P2PInfect, taip pat atskleidė pavyzdį, kuris parodė kelių platformų suderinamumą, o tai rodo, kad kenkėjiška programa buvo skirta tiek Windows, tiek Linux aplinkoms. Šiame konkrečiame pavyzdyje buvo Portable Executable (PE) ir ELF dvejetainiai failai, leidžiantys sklandžiai veikti abiejose operacinėse sistemose. Įdomu tai, kad šiame variante buvo naudojamas kitoks pradinės prieigos metodas, naudojant Redis replikacijos funkciją, kuri leidžia generuoti tikslias pagrindinio / pirmaujančio Redis egzemplioriaus kopijas.

P2Pinfect kenkėjiška programa plinta ir prideda pažeistas sistemas prie robotų tinklo

Pagrindinė kenkėjiškų programų apkrova yra ELF dvejetainis failas, sumaniai parašytas C ir Rust programavimo kalbų deriniu. Vykdant jis suaktyvina naudingosios apkrovos rūdžių komponentą, kuris perima valdžią.

Suaktyvinus dvejetainį failą, atliekami svarbūs SSH konfigūracijos pakeitimai tiksliniame pagrindiniame kompiuteryje. Tai pakeičia OpenSSH serverio konfigūraciją, kad ji būtų panaši į beveik numatytąją būseną, suteikdama užpuolikui prieigą prie serverio per saugaus apvalkalo (SSH) protokolą ir įgalindama slaptažodžio autentifikavimą. Tada grėsmės veikėjas iš naujo paleidžia SSH paslaugą ir prideda SSH raktą į dabartinio vartotojo įgaliotų raktų sąrašą, užtikrindamas netrukdomą prieigą prie pažeistos sistemos.

Vėlesniame etape užpuolikas diegia bash scenarijų, kad manipuliuotų wget ir curl dvejetainių failų pavadinimais. Scenarijus taip pat patikrina, ar yra konkrečių paslaugų, ir įdiegia jas, jei jų dar nėra. Atrodo, kad ugniasienės naudojimas yra kenkėjiškos programos priemonė, skirta apsaugoti pažeidžiamą Redis serverį nuo kitų galimų užpuolikų. Kenkėjiška programa užtikrina patvarumą pažeistame pagrindiniame kompiuteryje ir užtikrina nuolatinį jos veikimą.

Vėliau užkrėstame serveryje yra bent vienas dvejetainis failas, galintis nuskaityti /proc katalogą ir pasiekti kiekvieno jame esančio proceso statistiką. Be to, dvejetainis failas gali aktyviai stebėti /proc katalogą dėl bet kokių pakeitimų.

Be to, dvejetainis failas turi galimybę atnaujinti pirminės kenkėjiškos programos dvejetainį failą ir jį vykdyti, jei dabartinis parašas neatitinka to, kuris buvo gautas iš robotų tinklo.

Laikydamas kiekvieną pažeistą Redis serverį kaip mazgą, P2PInfect paverčia tinklą lygiaverčiu botnetu. Šis robotų tinklas veikia nereikalaujant centralizuoto komandų ir valdymo (C2) serverio, suteikiant jam galimybę savarankiškai priimti instrukcijas.