P2Pinfect-malware

Bedreigingsactoren voeren aanvallen uit op kwetsbare exemplaren van SSH en Redis, een open-source gegevensopslag. Deze frauduleuze actoren gebruiken een peer-to-peer zelfreplicerende worm, bekend als P2Pinfect, waarvan versies zijn ontworpen voor zowel Windows- als Linux-besturingssystemen.

De P2Pinfect-malware is ontwikkeld in de programmeertaal Rust en gebruikt ten minste twee methoden om initiële toegang tot doelsystemen te krijgen. De eerste methode maakt gebruik van een kritieke kwetsbaarheid die in 2022 werd onthuld en gepatcht. De tweede methode maakt gebruik van een functie binnen Redis die de replicatie van de hoofddatabase mogelijk maakt voor verbeterde hoge beschikbaarheid en om failover-scenario's tegen te gaan.

P2Pinfect-malware gebruikt verschillende infectievectoren

Aanvankelijk profiteerde P2PInfect van een kritieke kwetsbaarheid geïdentificeerd als CVE-2022-0543, die een maximale ernstscore had van 10 op 10. Deze beveiligingsfout had specifiek betrekking op Debian-systemen en had betrekking op een LUA-sandbox-ontsnappingskwetsbaarheid als gevolg van een verpakkingsprobleem. Door misbruik van deze kwetsbaarheid konden externe code worden uitgevoerd, wat een aanzienlijke bedreiging vormde voor getroffen systemen.

Zodra een kwetsbare Redis-instantie is gecompromitteerd met behulp van een initiële payload, gaat P2PInfect verder met het downloaden van nieuwe scripts en schadelijke binaire bestanden die zijn afgestemd op het specifieke besturingssysteem. Bovendien wordt de geïnfecteerde server opgenomen in de lijst met gecompromitteerde systemen van de malware. Vervolgens integreert de malware de geïnfecteerde server in zijn peer-to-peer-netwerk, waardoor de verspreiding van kwaadaardige payloads naar toekomstige gecompromitteerde Redis-servers wordt vergemakkelijkt.

Onderzoekers die P2PInfect onderzochten, ontdekten ook een voorbeeld dat platformonafhankelijke compatibiliteit aantoonde, wat aangeeft dat de malware was ontworpen om zowel Windows- als Linux-omgevingen aan te vallen. Dit specifieke voorbeeld bevatte Portable Executable (PE) en ELF-binaries, waardoor het naadloos op beide besturingssystemen kon werken. Interessant is dat deze variant een andere methode van initiële toegang gebruikte, gebruikmakend van de Redis-replicatiefunctie, die het genereren van exacte replica's van de hoofd-/leider Redis-instantie mogelijk maakt.

P2Pinfect-malware verspreidt en voegt de gecompromitteerde systemen toe aan een botnet

De primaire payload van de malware is een ELF binary, slim geschreven in een combinatie van C- en Rust-programmeertalen. Bij uitvoering activeert het de Rust-component van de payload om het over te nemen.

Eenmaal geactiveerd, gaat het binaire bestand verder met het aanbrengen van kritieke wijzigingen in de SSH-configuratie op de beoogde host. Het wijzigt de OpenSSH-serverconfiguratie zodat deze lijkt op een bijna standaardstatus, waardoor de aanvaller toegang krijgt tot de server via het Secure Shell (SSH)-protocol en wachtwoordverificatie mogelijk wordt gemaakt. Vervolgens start de bedreigingsactor de SSH-service opnieuw op en voegt een SSH-sleutel toe aan de lijst met geautoriseerde sleutels voor de huidige gebruiker, waardoor ongehinderde toegang tot het gecompromitteerde systeem wordt gegarandeerd.

In de volgende fase zet de aanvaller een bash-script in om de namen van de binaire bestanden wget en curl te manipuleren. Het script verifieert ook de aanwezigheid van specifieke hulpprogramma's en installeert deze als ze nog niet beschikbaar zijn. Het gebruik van een firewall-hulpprogramma lijkt een maatregel te zijn die door de malware wordt gebruikt om de kwetsbare Redis-server te beschermen tegen andere potentiële aanvallers. De malware zorgt voor persistentie op de gecompromitteerde host, waardoor de continue werking ervan wordt gegarandeerd.

Vervolgens wordt de geïnfecteerde server uitgerust met ten minste één binair bestand dat in staat is om door de map /proc te scannen en toegang te krijgen tot de statistieken voor elk proces daarin. Bovendien kan het binaire bestand de directory /proc actief controleren op eventuele wijzigingen.

Bovendien heeft het binaire bestand de mogelijkheid om het primaire malware-binaire bestand te upgraden en uit te voeren als de huidige handtekening niet overeenkomt met die van het botnet.

Door elke gecompromitteerde Redis-server als een knooppunt te behandelen, transformeert P2PInfect het netwerk in een peer-to-peer botnet. Dit botnet werkt zonder de noodzaak van een gecentraliseerde Command-and-Control (C2)-server, waardoor het de mogelijkheid krijgt om autonoom instructies te ontvangen.