P2Pinfect ਮਾਲਵੇਅਰ
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ SSH ਅਤੇ Redis, ਇੱਕ ਓਪਨ-ਸੋਰਸ ਡੇਟਾ ਸਟੋਰ ਦੇ ਕਮਜ਼ੋਰ ਮੌਕਿਆਂ 'ਤੇ ਹਮਲੇ ਕਰ ਰਹੇ ਹਨ। ਇਹ ਧੋਖੇਬਾਜ਼ ਅਭਿਨੇਤਾ ਇੱਕ ਪੀਅਰ-ਟੂ-ਪੀਅਰ ਸਵੈ-ਨਕਲ ਕਰਨ ਵਾਲੇ ਕੀੜੇ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ ਜਿਸਨੂੰ P2Pinfect ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਦੇ ਵਿੰਡੋਜ਼ ਅਤੇ ਲੀਨਕਸ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮਾਂ ਲਈ ਡਿਜ਼ਾਈਨ ਕੀਤੇ ਗਏ ਸੰਸਕਰਣ ਹਨ।
Rust ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾ ਵਿੱਚ ਵਿਕਸਤ, P2Pinfect ਮਾਲਵੇਅਰ ਟਾਰਗੇਟ ਸਿਸਟਮਾਂ ਤੱਕ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਘੱਟੋ-ਘੱਟ ਦੋ ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਪਹਿਲੀ ਵਿਧੀ ਇੱਕ ਨਾਜ਼ੁਕ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੀ ਹੈ ਜਿਸਦਾ ਖੁਲਾਸਾ 2022 ਵਿੱਚ ਕੀਤਾ ਗਿਆ ਸੀ ਅਤੇ ਪੈਚ ਕੀਤਾ ਗਿਆ ਸੀ। ਦੂਜੀ ਵਿਧੀ Redis ਦੇ ਅੰਦਰ ਇੱਕ ਵਿਸ਼ੇਸ਼ਤਾ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੀ ਹੈ ਜੋ ਬਿਹਤਰ ਉੱਚ ਉਪਲਬਧਤਾ ਲਈ ਮੁੱਖ ਡੇਟਾਬੇਸ ਦੀ ਪ੍ਰਤੀਕ੍ਰਿਤੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ ਅਤੇ ਅਸਫਲਤਾ ਦੇ ਦ੍ਰਿਸ਼ਾਂ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ।
P2Pinfect ਮਾਲਵੇਅਰ ਵੱਖ-ਵੱਖ ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ
ਸ਼ੁਰੂ ਵਿੱਚ, P2PInfect ਨੇ CVE-2022-0543 ਵਜੋਂ ਪਛਾਣੀ ਗਈ ਇੱਕ ਗੰਭੀਰ ਕਮਜ਼ੋਰੀ ਨੂੰ ਪੂੰਜੀਬੱਧ ਕੀਤਾ, ਜਿਸਦਾ ਵੱਧ ਤੋਂ ਵੱਧ ਗੰਭੀਰਤਾ ਸਕੋਰ 10 ਵਿੱਚੋਂ 10 ਸੀ। ਇਹ ਸੁਰੱਖਿਆ ਨੁਕਸ ਖਾਸ ਤੌਰ 'ਤੇ ਡੇਬੀਅਨ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦਾ ਹੈ ਅਤੇ ਇੱਕ ਪੈਕੇਜਿੰਗ ਮੁੱਦੇ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਇੱਕ LUA ਸੈਂਡਬੌਕਸ ਬਚਣ ਦੀ ਕਮਜ਼ੋਰੀ ਨਾਲ ਸਬੰਧਤ ਹੈ। ਇਸ ਕਮਜ਼ੋਰੀ ਦੇ ਸ਼ੋਸ਼ਣ ਨੇ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਸਮਰੱਥਾਵਾਂ ਪ੍ਰਦਾਨ ਕੀਤੀਆਂ, ਪ੍ਰਭਾਵਿਤ ਪ੍ਰਣਾਲੀਆਂ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖ਼ਤਰਾ ਹੈ।
ਇੱਕ ਵਾਰ ਜਦੋਂ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਪੇਲੋਡ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਕਮਜ਼ੋਰ Redis ਉਦਾਹਰਨ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ P2PInfect ਖਾਸ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਨਵੀਆਂ ਸਕ੍ਰਿਪਟਾਂ ਅਤੇ ਖਤਰਨਾਕ ਬਾਈਨਰੀਆਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਲਾਗ ਵਾਲੇ ਸਰਵਰ ਨੂੰ ਮਾਲਵੇਅਰ ਦੀ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਦੀ ਸੂਚੀ ਵਿੱਚ ਸੂਚੀਬੱਧ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਸੰਕਰਮਿਤ ਸਰਵਰ ਨੂੰ ਇਸਦੇ ਪੀਅਰ-ਟੂ-ਪੀਅਰ ਨੈਟਵਰਕ ਵਿੱਚ ਏਕੀਕ੍ਰਿਤ ਕਰਦਾ ਹੈ, ਭਵਿੱਖ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੇ Redis ਸਰਵਰਾਂ ਨੂੰ ਖਤਰਨਾਕ ਪੇਲੋਡਸ ਦੇ ਪ੍ਰਸਾਰ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ।
P2PInfect ਦੀ ਜਾਂਚ ਕਰ ਰਹੇ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਨਮੂਨਾ ਦਾ ਵੀ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਜੋ ਕ੍ਰਾਸ-ਪਲੇਟਫਾਰਮ ਅਨੁਕੂਲਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ, ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਮਾਲਵੇਅਰ ਵਿੰਡੋਜ਼ ਅਤੇ ਲੀਨਕਸ ਦੋਵਾਂ ਵਾਤਾਵਰਣਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸ ਵਿਸ਼ੇਸ਼ ਨਮੂਨੇ ਵਿੱਚ ਪੋਰਟੇਬਲ ਐਗਜ਼ੀਕਿਊਟੇਬਲ (PE) ਅਤੇ ELF ਬਾਈਨਰੀਆਂ ਸ਼ਾਮਲ ਹਨ, ਜਿਸ ਨਾਲ ਇਹ ਦੋਵੇਂ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮਾਂ 'ਤੇ ਸਹਿਜੇ ਹੀ ਕੰਮ ਕਰ ਸਕਦਾ ਹੈ। ਦਿਲਚਸਪ ਗੱਲ ਇਹ ਹੈ ਕਿ, ਇਸ ਵੇਰੀਐਂਟ ਨੇ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦਾ ਇੱਕ ਵੱਖਰਾ ਤਰੀਕਾ ਵਰਤਿਆ, Redis ਪ੍ਰਤੀਕ੍ਰਿਤੀ ਵਿਸ਼ੇਸ਼ਤਾ ਦਾ ਲਾਭ ਉਠਾਇਆ, ਜੋ ਮੁੱਖ/ਲੀਡਰ Redis ਉਦਾਹਰਣ ਦੇ ਸਹੀ ਪ੍ਰਤੀਰੂਪਾਂ ਨੂੰ ਬਣਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।
P2Pinfect ਮਾਲਵੇਅਰ ਫੈਲਦਾ ਹੈ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਨੂੰ ਬੋਟਨੈੱਟ ਵਿੱਚ ਜੋੜਦਾ ਹੈ
ਮਾਲਵੇਅਰ ਦਾ ਪ੍ਰਾਇਮਰੀ ਪੇਲੋਡ ਇੱਕ ELF ਬਾਈਨਰੀ ਹੈ, ਜੋ ਕਿ C ਅਤੇ Rust ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾਵਾਂ ਦੇ ਸੁਮੇਲ ਵਿੱਚ ਚਲਾਕੀ ਨਾਲ ਲਿਖਿਆ ਗਿਆ ਹੈ। ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਹੋਣ 'ਤੇ, ਇਹ ਪੇਲੋਡ ਦੇ ਰਸਟ ਕੰਪੋਨੈਂਟ ਨੂੰ ਓਵਰ ਟੇਕ ਕਰਨ ਲਈ ਟਰਿੱਗਰ ਕਰਦਾ ਹੈ।
ਇੱਕ ਵਾਰ ਐਕਟੀਵੇਟ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਬਾਈਨਰੀ ਟੀਚੇ ਵਾਲੇ ਹੋਸਟ 'ਤੇ SSH ਸੰਰਚਨਾ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਤਬਦੀਲੀਆਂ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦੀ ਹੈ। ਇਹ ਓਪਨਐਸਐਸਐਚ ਸਰਵਰ ਸੰਰਚਨਾ ਨੂੰ ਇੱਕ ਨਜ਼ਦੀਕੀ ਡਿਫੌਲਟ ਸਥਿਤੀ ਦੇ ਸਮਾਨ ਬਣਾਉਣ ਲਈ ਸੰਸ਼ੋਧਿਤ ਕਰਦਾ ਹੈ, ਹਮਲਾਵਰ ਨੂੰ ਸੁਰੱਖਿਅਤ ਸ਼ੈੱਲ (SSH) ਪ੍ਰੋਟੋਕੋਲ ਦੁਆਰਾ ਸਰਵਰ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ ਅਤੇ ਪਾਸਵਰਡ ਪ੍ਰਮਾਣੀਕਰਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਅੱਗੇ, ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ SSH ਸੇਵਾ ਨੂੰ ਮੁੜ ਚਾਲੂ ਕਰਦਾ ਹੈ ਅਤੇ ਮੌਜੂਦਾ ਉਪਭੋਗਤਾ ਲਈ ਅਧਿਕਾਰਤ ਕੁੰਜੀਆਂ ਦੀ ਸੂਚੀ ਵਿੱਚ ਇੱਕ SSH ਕੁੰਜੀ ਜੋੜਦਾ ਹੈ, ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਤੱਕ ਬਿਨਾਂ ਰੁਕਾਵਟ ਪਹੁੰਚ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।
ਅਗਲੇ ਪੜਾਅ ਵਿੱਚ, ਹਮਲਾਵਰ wget ਅਤੇ curl binaries ਦੇ ਨਾਮ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਲਈ ਇੱਕ bash ਸਕ੍ਰਿਪਟ ਤੈਨਾਤ ਕਰਦਾ ਹੈ। ਸਕ੍ਰਿਪਟ ਖਾਸ ਉਪਯੋਗਤਾਵਾਂ ਦੀ ਮੌਜੂਦਗੀ ਦੀ ਵੀ ਪੁਸ਼ਟੀ ਕਰਦੀ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦੀ ਹੈ ਜੇਕਰ ਉਹ ਪਹਿਲਾਂ ਤੋਂ ਉਪਲਬਧ ਨਹੀਂ ਹਨ। ਫਾਇਰਵਾਲ ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ, ਹੋਰ ਸੰਭਾਵੀ ਹਮਲਾਵਰਾਂ ਤੋਂ ਕਮਜ਼ੋਰ Redis ਸਰਵਰ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਲਗਾਇਆ ਗਿਆ ਇੱਕ ਮਾਪ ਜਾਪਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਸਮਝੌਤਾ ਕੀਤੇ ਹੋਸਟ 'ਤੇ ਨਿਰੰਤਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, ਇਸਦੀ ਨਿਰੰਤਰ ਕਾਰਵਾਈ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।
ਇਸ ਤੋਂ ਬਾਅਦ, ਸੰਕਰਮਿਤ ਸਰਵਰ ਘੱਟੋ-ਘੱਟ ਇੱਕ ਬਾਈਨਰੀ ਨਾਲ ਲੈਸ ਹੁੰਦਾ ਹੈ ਜੋ /proc ਡਾਇਰੈਕਟਰੀ ਦੁਆਰਾ ਸਕੈਨ ਕਰਨ ਅਤੇ ਉਸ ਵਿੱਚ ਹਰੇਕ ਪ੍ਰਕਿਰਿਆ ਲਈ ਸਟੇਟ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੁੰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਬਾਈਨਰੀ ਕਿਸੇ ਵੀ ਤਬਦੀਲੀ ਲਈ /proc ਡਾਇਰੈਕਟਰੀ ਦੀ ਸਰਗਰਮੀ ਨਾਲ ਨਿਗਰਾਨੀ ਕਰ ਸਕਦੀ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਬਾਈਨਰੀ ਕੋਲ ਪ੍ਰਾਇਮਰੀ ਮਾਲਵੇਅਰ ਬਾਈਨਰੀ ਨੂੰ ਅਪਗ੍ਰੇਡ ਕਰਨ ਅਤੇ ਇਸਨੂੰ ਚਲਾਉਣ ਦੀ ਸਮਰੱਥਾ ਹੈ ਜੇਕਰ ਮੌਜੂਦਾ ਦਸਤਖਤ ਬੋਟਨੈੱਟ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤੇ ਗਏ ਨਾਲ ਮੇਲ ਨਹੀਂ ਖਾਂਦੇ ਹਨ।
ਹਰੇਕ ਸਮਝੌਤਾ ਕੀਤੇ Redis ਸਰਵਰ ਨੂੰ ਇੱਕ ਨੋਡ ਦੇ ਰੂਪ ਵਿੱਚ ਵਰਤ ਕੇ, P2PInfect ਨੈੱਟਵਰਕ ਨੂੰ ਇੱਕ ਪੀਅਰ-ਟੂ-ਪੀਅਰ ਬੋਟਨੈੱਟ ਵਿੱਚ ਬਦਲ ਦਿੰਦਾ ਹੈ। ਇਹ ਬੋਟਨੈੱਟ ਇੱਕ ਕੇਂਦਰੀਕ੍ਰਿਤ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਇਸਨੂੰ ਖੁਦਮੁਖਤਿਆਰੀ ਨਾਲ ਨਿਰਦੇਸ਼ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਯੋਗਤਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।
