P2Pinfect मालवेयर
धम्की दिने व्यक्तिहरूले SSH र Redis, खुला स्रोत डाटा स्टोरको कमजोर उदाहरणहरूमा आक्रमणहरू गरिरहेका छन्। यी धोखाधडी अभिनेताहरूले P2Pinfect भनेर चिनिने पियर-टु-पियर सेल्फ-रिप्लिकेटिङ वर्म प्रयोग गरिरहेका छन्, जसमा Windows र Linux अपरेटिङ सिस्टम दुवैका लागि डिजाइन गरिएका संस्करणहरू छन्।
Rust प्रोग्रामिङ भाषामा विकसित, P2Pinfect मालवेयरले लक्षित प्रणालीहरूमा प्रारम्भिक पहुँच प्राप्त गर्न कम्तिमा दुई तरिकाहरू प्रयोग गर्दछ। पहिलो विधिले 2022 मा खुलासा र प्याच गरिएको महत्वपूर्ण जोखिमको शोषण गर्दछ। दोस्रो विधिले Redis भित्रको सुविधाको फाइदा लिन्छ जसले सुधारिएको उच्च उपलब्धता र फेलओभर परिदृश्यहरू काउन्टर गर्न मुख्य डाटाबेसको प्रतिकृति सक्षम गर्दछ।
P2Pinfect मालवेयरले विभिन्न संक्रमण भेक्टरहरू प्रयोग गर्दछ
प्रारम्भमा, P2PInfect ले CVE-2022-0543 को रूपमा पहिचान गरिएको महत्वपूर्ण जोखिममा पूंजीकृत गर्यो, जसको 10 मध्ये 10 को अधिकतम गम्भीरता स्कोर थियो। यो सुरक्षा त्रुटिले विशेष रूपमा डेबियन प्रणालीहरूलाई असर गर्यो र प्याकेजिङ समस्याको परिणामस्वरूप LUA स्यान्डबक्स एस्केप जोखिमसँग सम्बन्धित थियो। यस जोखिमको शोषणले रिमोट कोड कार्यान्वयन क्षमताहरू प्रदान गर्यो, जसले प्रभावित प्रणालीहरूमा महत्त्वपूर्ण खतरा खडा गर्यो।
प्रारम्भिक पेलोड प्रयोग गरेर कमजोर Redis उदाहरण एक पटक सम्झौता गरिसकेपछि, P2PInfect ले विशेष अपरेटिङ सिस्टमको लागि अनुकूल नयाँ स्क्रिप्टहरू र मालिसियस बाइनरीहरू डाउनलोड गर्न अगाडि बढ्छ। यसबाहेक, संक्रमित सर्भर मालवेयरको सम्झौता प्रणालीहरूको सूचीमा सूचीबद्ध गरिएको छ। पछि, मालवेयरले संक्रमित सर्भरलाई यसको पियर-टु-पियर नेटवर्कमा एकीकृत गर्दछ, भविष्यमा सम्झौता गरिएको रेडिस सर्भरहरूमा खराब पेलोडहरूको प्रसारलाई सहज बनाउँछ।
P2PInfect अनुसन्धान गर्ने अन्वेषकहरूले क्रस-प्लेटफर्म अनुकूलता प्रदर्शन गर्ने नमूना पनि पत्ता लगाए, जसले मालवेयर विन्डोज र लिनक्स दुवै वातावरणलाई लक्षित गर्न डिजाइन गरिएको हो भनेर संकेत गर्दछ। यो विशेष नमूनाले पोर्टेबल एक्जीक्यूटेबल (PE) र ELF बाइनरीहरू समावेश गर्दछ, यसले दुवै अपरेटिङ सिस्टमहरूमा निर्बाध रूपमा सञ्चालन गर्न अनुमति दिन्छ। चाखलाग्दो कुरा के छ भने, यो भेरियन्टले प्रारम्भिक पहुँचको एक फरक विधि प्रयोग गर्यो, Redis प्रतिकृति सुविधाको फाइदा उठाउँदै, जसले मुख्य/नेता Redis उदाहरणको सटीक प्रतिकृतिहरूको उत्पादनलाई सक्षम बनाउँछ।
P2Pinfect मालवेयर फैलाउँछ र एक Botnet मा सम्झौता प्रणाली थप्छ
मालवेयरको प्राथमिक पेलोड एक ELF बाइनरी हो, चलाखीपूर्वक C र Rust प्रोग्रामिङ भाषाहरूको संयोजनमा लेखिएको। कार्यान्वयनमा, यसले पेलोडको रस्ट कम्पोनेन्टलाई कब्जा गर्न ट्रिगर गर्दछ।
एकपटक सक्रिय भएपछि, बाइनरीले लक्षित होस्टमा SSH कन्फिगरेसनमा महत्वपूर्ण परिवर्तनहरू गर्न अगाडि बढ्छ। यसले OpenSSH सर्भर कन्फिगरेसनलाई नजिकको पूर्वनिर्धारित अवस्थासँग मिल्दोजुल्दो परिमार्जन गर्दछ, आक्रमणकर्तालाई सुरक्षित शेल (SSH) प्रोटोकल मार्फत सर्भरमा पहुँच प्रदान गर्दै र पासवर्ड प्रमाणीकरण सक्षम पार्छ। अर्को, खतरा अभिनेताले SSH सेवा पुन: सुरु गर्छ र हालको प्रयोगकर्ताको लागि आधिकारिक कुञ्जीहरूको सूचीमा SSH कुञ्जी थप्छ, सम्झौता प्रणालीमा निर्बाध पहुँच सुनिश्चित गर्दै।
पछिल्लो चरणमा, आक्रमणकर्ताले wget र कर्ल बाइनरीहरूको नामहरू हेरफेर गर्न bash स्क्रिप्ट प्रयोग गर्दछ। स्क्रिप्टले विशेष उपयोगिताहरूको उपस्थिति पनि प्रमाणित गर्दछ र यदि तिनीहरू पहिले नै उपलब्ध छैनन् भने तिनीहरूलाई स्थापना गर्दछ। फायरवाल उपयोगिताको प्रयोग, अन्य सम्भावित आक्रमणकारीहरूबाट कमजोर Redis सर्भरलाई सुरक्षित गर्न मालवेयरद्वारा नियोजित उपाय जस्तो देखिन्छ। मालवेयरले सम्झौता गरिएको होस्टमा दृढता स्थापना गर्दछ, यसको निरन्तर सञ्चालन सुनिश्चित गर्दछ।
पछि, संक्रमित सर्भरमा /proc डाइरेक्टरी मार्फत स्क्यान गर्न र त्यहाँ प्रत्येक प्रक्रियाको लागि स्टेट पहुँच गर्न सक्षम कम्तिमा एउटा बाइनरीसँग सुसज्जित छ। थप रूपमा, बाइनरीले कुनै पनि परिवर्तनको लागि /proc डाइरेक्टरीलाई सक्रिय रूपमा निगरानी गर्न सक्छ।
यसबाहेक, बाइनरीसँग प्राथमिक मालवेयर बाइनरी अपग्रेड गर्ने र हालको हस्ताक्षर बोटनेटबाट प्राप्त गरिएको एकसँग मेल खाँदैन भने यसलाई कार्यान्वयन गर्ने क्षमता छ।
प्रत्येक सम्झौता गरिएको Redis सर्भरलाई नोडको रूपमा व्यवहार गरेर, P2PInfect ले नेटवर्कलाई पियर-टू-पियर बोटनेटमा रूपान्तरण गर्छ। यो बोटनेटले केन्द्रीकृत कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरको आवश्यकता बिना नै सञ्चालन गर्दछ, यसले स्वायत्त रूपमा निर्देशनहरू प्राप्त गर्ने क्षमता प्रदान गर्दछ।
