Malvér P2Pinfect

Aktéri hrozieb uskutočňujú útoky na zraniteľné inštancie SSH a Redis, úložisko údajov s otvoreným zdrojom. Títo podvodní aktéri používajú peer-to-peer samoreplikujúceho červa známeho ako P2Pinfect, ktorý má verzie určené pre operačné systémy Windows aj Linux.

Malvér P2Pinfect, vyvinutý v programovacom jazyku Rust, využíva najmenej dve metódy na získanie počiatočného prístupu k cieľovým systémom. Prvá metóda využíva kritickú zraniteľnosť, ktorá bola odhalená a opravená v roku 2022. Druhá metóda využíva funkciu v rámci Redis, ktorá umožňuje replikáciu hlavnej databázy s cieľom zlepšiť vysokú dostupnosť a čeliť scenárom zlyhania.

Malvér P2Pinfect používa rôzne vektory infekcie

Spočiatku P2PInfect zarábal na kritickej zraniteľnosti označenej ako CVE-2022-0543, ktorá mala maximálne skóre závažnosti 10 z 10. Táto bezpečnostná chyba konkrétne ovplyvnila systémy Debian a týkala sa zraniteľnosti úniku LUA sandbox vyplývajúcej z problému s balením. Využitie tejto zraniteľnosti poskytlo možnosti vzdialeného spúšťania kódu, čo predstavuje významnú hrozbu pre postihnuté systémy.

Akonáhle je zraniteľná inštancia Redis kompromitovaná pomocou počiatočného užitočného zaťaženia, P2PInfect pokračuje v sťahovaní nových skriptov a škodlivých binárnych súborov prispôsobených pre konkrétny operačný systém. Okrem toho je infikovaný server zaradený do zoznamu napadnutých systémov škodlivého softvéru. Následne malvér integruje infikovaný server do svojej siete peer-to-peer, čím uľahčuje šírenie škodlivého obsahu na budúce kompromitované servery Redis.

Výskumníci skúmajúci P2PInfect tiež odhalili vzorku, ktorá preukázala kompatibilitu medzi platformami, čo naznačuje, že malvér bol navrhnutý tak, aby sa zameral na prostredia Windows aj Linux. Táto konkrétna vzorka obsahovala binárne súbory Portable Executable (PE) a ELF, čo jej umožňovalo bezproblémovú prevádzku na oboch operačných systémoch. Je zaujímavé, že tento variant využíval inú metódu počiatočného prístupu využívajúcu funkciu replikácie Redis, ktorá umožňuje generovanie presných replík hlavnej/vedúcej inštancie Redis.

P2Pinfect Malware šíri a pridáva kompromitované systémy do botnetu

Primárnym užitočným zaťažením malvéru je binárny súbor ELF, šikovne napísaný v kombinácii programovacích jazykov C a Rust. Po vykonaní spustí komponent Rust užitočného zaťaženia, aby prevzal kontrolu.

Po aktivácii binárny program vykoná kritické zmeny v konfigurácii SSH na cieľovom hostiteľovi. Upravuje konfiguráciu servera OpenSSH tak, aby sa podobala takmer predvolenému stavu, pričom útočníkovi poskytuje prístup k serveru cez protokol Secure Shell (SSH) a umožňuje autentifikáciu heslom. Ďalej aktér hrozby reštartuje službu SSH a pridá kľúč SSH do zoznamu autorizovaných kľúčov pre aktuálneho používateľa, čím zabezpečí neobmedzený prístup k napadnutému systému.

V nasledujúcej fáze útočník nasadí bash skript na manipuláciu s názvami binárnych súborov wget a curl. Skript tiež overí prítomnosť konkrétnych pomôcok a nainštaluje ich, ak ešte nie sú dostupné. Použitie nástroja brány firewall sa javí ako opatrenie, ktoré malvér používa na ochranu zraniteľného servera Redis pred inými potenciálnymi útočníkmi. Malvér vytvára pretrvávanie na napadnutom hostiteľovi a zabezpečuje jeho nepretržitú prevádzku.

Následne je infikovaný server vybavený aspoň jednou binárkou schopnou prehľadávať adresár /proc a pristupovať k štatistikám každého procesu v ňom. Okrem toho môže binárny súbor aktívne monitorovať akékoľvek zmeny v adresári /proc.

Okrem toho má binárny súbor schopnosť aktualizovať primárny binárny malvér a spustiť ho, ak sa aktuálny podpis nezhoduje s podpisom získaným z botnetu.

S každým napadnutým serverom Redis zaobchádzaním ako s uzlom, P2PInfect transformuje sieť na peer-to-peer botnet. Tento botnet funguje bez potreby centralizovaného servera Command-and-Control (C2), čo mu poskytuje možnosť autonómne prijímať pokyny.