Zlonamerna programska oprema P2Pinfect

Akterji groženj izvajajo napade na ranljive primerke SSH in Redis, odprtokodno shrambo podatkov. Ti goljufivi akterji uporabljajo enakovrednega samopodvajajočega črva, znanega kot P2Pinfect, ki ima različice, zasnovane za operacijska sistema Windows in Linux.

Zlonamerna programska oprema P2Pinfect, razvita v programskem jeziku Rust, uporablja vsaj dve metodi za pridobitev začetnega dostopa do ciljnih sistemov. Prva metoda izkorišča kritično ranljivost, ki je bila razkrita in popravljena leta 2022. Druga metoda izkorišča funkcijo znotraj Redisa, ki omogoča replikacijo glavne baze podatkov za izboljšano visoko razpoložljivost in preprečevanje scenarijev preklopa.

Zlonamerna programska oprema P2Pinfect uporablja različne vektorje okužbe

Sprva je P2PInfect izkoristil kritično ranljivost, identificirano kot CVE-2022-0543, ki je imela najvišjo oceno resnosti 10 od 10. Ta varnostna napaka je posebej vplivala na sisteme Debian in se nanašala na ranljivost za pobeg v peskovniku LUA, ki je bila posledica težave z embalažo. Izkoriščanje te ranljivosti je omogočilo oddaljeno izvajanje kode, kar je predstavljalo veliko grožnjo za prizadete sisteme.

Ko je ranljiva instanca Redisa ogrožena z začetnim koristnim nalaganjem, P2PInfect nadaljuje s prenosom novih skriptov in zlonamernih binarnih datotek, prilagojenih za določen operacijski sistem. Poleg tega je okuženi strežnik uvrščen na seznam ogroženih sistemov zlonamerne programske opreme. Nato zlonamerna programska oprema integrira okuženi strežnik v svoje omrežje enakovrednih, kar olajša širjenje zlonamernega tovora na prihodnje ogrožene strežnike Redis.

Raziskovalci, ki so preiskovali P2PInfect, so odkrili tudi vzorec, ki je pokazal združljivost med platformami, kar kaže, da je bila zlonamerna programska oprema zasnovana tako, da cilja na okolja Windows in Linux. Ta poseben vzorec je vseboval prenosno izvršljivo datoteko (PE) in binarne datoteke ELF, kar mu je omogočilo brezhibno delovanje v obeh operacijskih sistemih. Zanimivo je, da je ta različica uporabila drugačno metodo začetnega dostopa, pri čemer je izkoristila funkcijo replikacije Redis, ki omogoča ustvarjanje natančnih replik glavnega/vodilnega primerka Redisa.

Zlonamerna programska oprema P2Pinfect širi in dodaja ogrožene sisteme botnetu

Primarna koristna obremenitev zlonamerne programske opreme je dvojiška datoteka ELF, spretno napisana v kombinaciji programskih jezikov C in Rust. Po izvedbi sproži komponento Rust tovora, da prevzame.

Ko je aktivirana, binarna datoteka nadaljuje s kritičnimi spremembami konfiguracije SSH na ciljnem gostitelju. Spremeni konfiguracijo strežnika OpenSSH tako, da je podobna skoraj privzetemu stanju, napadalcu omogoči dostop do strežnika prek protokola varne lupine (SSH) in omogoči preverjanje pristnosti z geslom. Nato povzročitelj grožnje znova zažene storitev SSH in doda ključ SSH na seznam pooblaščenih ključev za trenutnega uporabnika, kar zagotavlja neoviran dostop do ogroženega sistema.

V naslednji fazi napadalec uporabi skript bash za manipulacijo imen binarnih datotek wget in curl. Skript tudi preveri prisotnost določenih pripomočkov in jih namesti, če še niso na voljo. Zdi se, da je uporaba pripomočka za požarni zid ukrep, ki ga zlonamerna programska oprema uporablja za zaščito ranljivega strežnika Redis pred drugimi potencialnimi napadalci. Zlonamerna programska oprema vzpostavi obstojnost na ogroženem gostitelju in tako zagotovi njegovo neprekinjeno delovanje.

Nato je okuženi strežnik opremljen z vsaj eno dvojiško datoteko, ki lahko skenira imenik /proc in dostopa do statistike za vsak proces v njem. Poleg tega lahko dvojiška datoteka aktivno spremlja imenik /proc za morebitne spremembe.

Poleg tega ima dvojiška datoteka zmožnost nadgradnje primarne dvojiške zlonamerne programske opreme in jo izvede, če se trenutni podpis ne ujema s tistim, pridobljenim iz botneta.

Z obravnavanjem vsakega ogroženega strežnika Redis kot vozlišča P2PInfect spremeni omrežje v botnet enakovrednih. Ta botnet deluje brez potrebe po centraliziranem strežniku Command-and-Control (C2), kar mu omogoča samostojno prejemanje navodil.