Złośliwe oprogramowanie P2Pinfect

Aktorzy zajmujący się zagrożeniami przeprowadzają ataki na podatne na ataki instancje SSH i Redis, magazynu danych typu open source. Ci nieuczciwi aktorzy używają samoreplikującego się robaka peer-to-peer, znanego jako P2Pinfect, którego wersje są przeznaczone zarówno dla systemów operacyjnych Windows, jak i Linux.

Szkodliwe oprogramowanie P2Pinfect, opracowane w języku programowania Rust, wykorzystuje co najmniej dwie metody uzyskania wstępnego dostępu do systemów docelowych. Pierwsza metoda wykorzystuje krytyczną lukę, która została ujawniona i załatana w 2022 r. Druga metoda wykorzystuje funkcję Redis, która umożliwia replikację głównej bazy danych w celu poprawy wysokiej dostępności i przeciwdziałania scenariuszom przełączania awaryjnego.

Złośliwe oprogramowanie P2Pinfect wykorzystuje różne wektory infekcji

Początkowo P2PInfect wykorzystywał krytyczną lukę w zabezpieczeniach zidentyfikowaną jako CVE-2022-0543, której maksymalny wynik ważności wynosił 10 na 10. Ta luka w zabezpieczeniach dotyczyła w szczególności systemów Debiana i dotyczyła luki umożliwiającej ucieczkę z piaskownicy LUA, wynikającej z problemu z opakowaniem. Wykorzystanie tej luki umożliwiło zdalne wykonanie kodu, co stanowi poważne zagrożenie dla systemów, których dotyczy luka.

Gdy zagrożona instancja Redis zostanie naruszona przy użyciu początkowego ładunku, P2PInfect przystępuje do pobierania nowych skryptów i złośliwych plików binarnych dostosowanych do konkretnego systemu operacyjnego. Ponadto zainfekowany serwer znajduje się na liście zainfekowanych systemów szkodliwego oprogramowania. Następnie złośliwe oprogramowanie integruje zainfekowany serwer ze swoją siecią peer-to-peer, ułatwiając rozprzestrzenianie złośliwych ładunków na przyszłe zhakowane serwery Redis.

Badacze badający P2PInfect odkryli również próbkę, która wykazała kompatybilność między platformami, co wskazuje, że złośliwe oprogramowanie zostało zaprojektowane tak, aby atakować zarówno środowiska Windows, jak i Linux. Ta konkretna próbka zawierała pliki binarne Portable Executable (PE) i ELF, dzięki czemu mogła bezproblemowo działać w obu systemach operacyjnych. Co ciekawe, ten wariant wykorzystywał inną metodę początkowego dostępu, wykorzystując funkcję replikacji Redis, która umożliwia generowanie dokładnych replik głównej/liderowej instancji Redis.

P2Pinfect Malware rozprzestrzenia się i dodaje zainfekowane systemy do botnetu

Podstawowym ładunkiem szkodliwego oprogramowania jest plik binarny ELF, sprytnie napisany w kombinacji języków programowania C i Rust. Po wykonaniu powoduje przejęcie komponentu Rust ładunku.

Po aktywacji plik binarny dokonuje krytycznych zmian w konfiguracji SSH na docelowym hoście. Modyfikuje konfigurację serwera OpenSSH, aby przypominała stan zbliżony do domyślnego, zapewniając atakującemu dostęp do serwera za pośrednictwem protokołu Secure Shell (SSH) i umożliwiając uwierzytelnianie hasłem. Następnie atakujący ponownie uruchamia usługę SSH i dodaje klucz SSH do listy autoryzowanych kluczy dla bieżącego użytkownika, zapewniając niezakłócony dostęp do zaatakowanego systemu.

W kolejnej fazie atakujący wdraża skrypt bash w celu manipulowania nazwami plików binarnych wget i curl. Skrypt sprawdza również obecność określonych narzędzi i instaluje je, jeśli nie są jeszcze dostępne. Użycie zapory sieciowej wydaje się być środkiem zastosowanym przez złośliwe oprogramowanie w celu ochrony podatnego na ataki serwera Redis przed innymi potencjalnymi atakującymi. Złośliwe oprogramowanie ustanawia trwałość na zaatakowanym hoście, zapewniając jego ciągłość działania.

Następnie zainfekowany serwer jest wyposażony w co najmniej jeden plik binarny zdolny do skanowania katalogu /proc i uzyskiwania dostępu do statystyk dla każdego procesu w nim. Dodatkowo plik binarny może aktywnie monitorować katalog /proc pod kątem wszelkich zmian.

Ponadto plik binarny ma możliwość uaktualnienia głównego pliku binarnego złośliwego oprogramowania i wykonania go, jeśli bieżąca sygnatura nie pasuje do tej pobranej z botnetu.

Traktując każdy zaatakowany serwer Redis jako węzeł, P2PInfect przekształca sieć w botnet peer-to-peer. Ten botnet działa bez potrzeby posiadania scentralizowanego serwera Command-and-Control (C2), co daje mu możliwość autonomicznego otrzymywania instrukcji.