P2Pinfect skadelig programvare

Trusselaktører utfører angrep på sårbare forekomster av SSH og Redis, et datalager med åpen kildekode. Disse uredelige aktørene bruker en peer-to-peer selvreplikerende orm kjent som P2Pinfect, som har versjoner designet for både Windows- og Linux-operativsystemer.

P2Pinfect-malwaren er utviklet i programmeringsspråket Rust, og bruker minst to metoder for å få førstegangstilgang til målsystemer. Den første metoden utnytter en kritisk sårbarhet som ble avslørt og lappet i 2022. Den andre metoden utnytter en funksjon i Redis som muliggjør replikering av hoveddatabasen for forbedret høy tilgjengelighet og for å motvirke failover-scenarier.

P2Pinfect Malware bruker forskjellige infeksjonsvektorer

Opprinnelig utnyttet P2PInfect en kritisk sårbarhet identifisert som CVE-2022-0543, som hadde en maksimal alvorlighetsgrad på 10 av 10. Denne sikkerhetsfeilen påvirket spesifikt Debian-systemer og gjaldt en LUA-sandbox-escape-sårbarhet som følge av et pakkeproblem. Utnyttelsen av dette sikkerhetsproblemet ga muligheter for ekstern kjøring av kode, noe som utgjør en betydelig trussel mot berørte systemer.

Når en sårbar Redis-forekomst er kompromittert ved bruk av en innledende nyttelast, fortsetter P2PInfect å laste ned nye skript og ondsinnede binærfiler skreddersydd for det spesifikke operativsystemet. Videre er den infiserte serveren oppført i skadevareprogrammets liste over kompromitterte systemer. Deretter integrerer skadelig programvare den infiserte serveren i peer-to-peer-nettverket, og letter spredningen av skadelige nyttelaster til fremtidige kompromitterte Redis-servere.

Forskere som undersøkte P2PInfect avdekket også en prøve som demonstrerte kompatibilitet på tvers av plattformer, noe som indikerte at skadelig programvare var designet for å målrette mot både Windows- og Linux-miljøer. Denne spesielle prøven inneholdt Portable Executable (PE) og ELF-binærfiler, slik at den kunne operere på begge operativsystemene sømløst. Interessant nok brukte denne varianten en annen metode for innledende tilgang, og utnyttet Redis-replikeringsfunksjonen, som muliggjør generering av eksakte kopier av hoved-/leder Redis-forekomsten.

P2Pinfect Malware sprer og legger de kompromitterte systemene til et botnett

Den primære nyttelasten til skadevaren er en ELF-binær, smart skrevet i en kombinasjon av programmeringsspråkene C og Rust. Ved utførelse utløser den Rust-komponenten i nyttelasten til å ta over.

Når den er aktivert, fortsetter binæren med å gjøre kritiske endringer i SSH-konfigurasjonen på målverten. Den endrer OpenSSH-serverkonfigurasjonen for å ligne en nesten standardtilstand, og gir angriperen tilgang til serveren gjennom SSH-protokollen (Secure Shell) og aktiverer passordautentisering. Deretter starter trusselaktøren SSH-tjenesten på nytt og legger til en SSH-nøkkel til listen over autoriserte nøkler for gjeldende bruker, og sikrer uhindret tilgang til det kompromitterte systemet.

I den påfølgende fasen distribuerer angriperen et bash-skript for å manipulere navnene på wget- og curl-binærfilene. Skriptet bekrefter også tilstedeværelsen av spesifikke verktøy og installerer dem hvis de ikke allerede er tilgjengelige. Bruken av et brannmurverktøy ser ut til å være et tiltak brukt av skadevare for å beskytte den sårbare Redis-serveren fra andre potensielle angripere. Skadevaren etablerer utholdenhet på den kompromitterte verten, og sikrer kontinuerlig drift.

Deretter er den infiserte serveren utstyrt med minst en binær som kan skanne gjennom /proc-katalogen og få tilgang til statistikken for hver prosess deri. I tillegg kan binæren aktivt overvåke /proc-katalogen for eventuelle endringer.

Videre har binærfilen muligheten til å oppgradere den primære malware-binærfilen og kjøre den hvis den gjeldende signaturen ikke samsvarer med den som er hentet fra botnettet.

Ved å behandle hver kompromitterte Redis-server som en node, transformerer P2PInfect nettverket til et peer-to-peer botnett. Dette botnettet fungerer uten behov for en sentralisert Command-and-Control-server (C2), som gir den muligheten til å motta instruksjoner autonomt.