P2Pinfect Malware

Aktor ancaman sedang melakukan serangan ke atas contoh terdedah SSH dan Redis, stor data sumber terbuka. Pelakon penipu ini menggunakan cacing replikasi diri rakan ke rakan yang dikenali sebagai P2Pinfect, yang mempunyai versi yang direka untuk kedua-dua sistem pengendalian Windows dan Linux.

Dibangunkan dalam bahasa pengaturcaraan Rust, perisian hasad P2Pinfect menggunakan sekurang-kurangnya dua kaedah untuk mendapatkan akses awal kepada sistem sasaran. Kaedah pertama mengeksploitasi kerentanan kritikal yang telah didedahkan dan ditampal pada tahun 2022. Kaedah kedua mengambil kesempatan daripada ciri dalam Redis yang membolehkan replikasi pangkalan data utama untuk ketersediaan tinggi yang dipertingkatkan dan untuk mengatasi senario failover.

P2Pinfect Malware Menggunakan Vektor Jangkitan Berbeza

Pada mulanya, P2PInfect memanfaatkan kerentanan kritikal yang dikenal pasti sebagai CVE-2022-0543, yang mempunyai skor keterukan maksimum 10 daripada 10. Cacat keselamatan ini secara khusus menjejaskan sistem Debian dan berkaitan dengan kelemahan melarikan diri kotak pasir LUA akibat daripada isu pembungkusan. Eksploitasi kelemahan ini memberikan keupayaan pelaksanaan kod jauh, menimbulkan ancaman besar kepada sistem yang terjejas.

Sebaik sahaja contoh Redis yang terdedah dikompromi menggunakan muatan awal, P2PInfect meneruskan untuk memuat turun skrip baharu dan perduaan berniat jahat yang disesuaikan untuk sistem pengendalian tertentu. Tambahan pula, pelayan yang dijangkiti disenaraikan dalam senarai sistem yang terjejas oleh perisian hasad. Selepas itu, perisian hasad menyepadukan pelayan yang dijangkiti ke dalam rangkaian rakan ke rakannya, memudahkan penyebaran muatan berniat jahat kepada pelayan Redis yang terjejas pada masa hadapan.

Penyelidik yang menyiasat P2PInfect juga menemui sampel yang menunjukkan keserasian merentas platform, menunjukkan bahawa perisian hasad itu direka untuk menyasarkan kedua-dua persekitaran Windows dan Linux. Sampel khusus ini mengandungi binari Portable Executable (PE) dan ELF, membolehkan ia beroperasi pada kedua-dua sistem pengendalian dengan lancar. Menariknya, varian ini menggunakan kaedah akses awal yang berbeza, memanfaatkan ciri replikasi Redis, yang membolehkan penjanaan replika tepat contoh Redis utama/pemimpin.

P2Pinfect Malware Menyebarkan dan Menambah Sistem Terkompromi pada Botnet

Muatan utama perisian hasad ialah binari ELF, ditulis dengan bijak dalam gabungan bahasa pengaturcaraan C dan Rust. Selepas pelaksanaan, ia mencetuskan komponen Rust muatan untuk mengambil alih.

Setelah diaktifkan, binari meneruskan untuk membuat perubahan kritikal pada konfigurasi SSH pada hos yang disasarkan. Ia mengubah suai konfigurasi pelayan OpenSSH untuk menyerupai keadaan hampir lalai, memberikan penyerang akses kepada pelayan melalui protokol shell selamat (SSH) dan membolehkan pengesahan kata laluan. Seterusnya, pelaku ancaman memulakan semula perkhidmatan SSH dan menambah kunci SSH pada senarai kunci yang dibenarkan untuk pengguna semasa, memastikan akses tanpa halangan kepada sistem yang terjejas.

Dalam fasa berikutnya, penyerang menggunakan skrip bash untuk memanipulasi nama binari wget dan curl. Skrip juga mengesahkan kehadiran utiliti tertentu dan memasangnya jika ia belum tersedia. Penggunaan utiliti tembok api, nampaknya merupakan langkah yang digunakan oleh perisian hasad untuk melindungi pelayan Redis yang terdedah daripada penyerang berpotensi lain. Malware mewujudkan kegigihan pada hos yang terjejas, memastikan operasi berterusannya.

Selepas itu, pelayan yang dijangkiti dilengkapi dengan sekurang-kurangnya satu binari yang mampu mengimbas melalui direktori /proc dan mengakses stat untuk setiap proses di dalamnya. Selain itu, binari boleh memantau secara aktif direktori /proc untuk sebarang perubahan.

Tambahan pula, binari mempunyai keupayaan untuk menaik taraf binari malware utama dan melaksanakannya jika tandatangan semasa tidak sepadan dengan tandatangan yang diambil daripada botnet.

Dengan menganggap setiap pelayan Redis yang terjejas sebagai nod, P2PInfect mengubah rangkaian menjadi botnet peer-to-peer. Botnet ini beroperasi tanpa memerlukan pelayan Command-and-Control (C2) terpusat, memberikannya keupayaan untuk menerima arahan secara autonomi.