Malware P2Pinfect

Aktorët e kërcënimit po kryejnë sulme ndaj rasteve të cenueshme të SSH dhe Redis, një dyqan të dhënash me burim të hapur. Këta aktorë mashtrues po përdorin një krimb vetë-përsëritës peer-to-peer të njohur si P2Pinfect, i cili ka versione të krijuara për sistemet operative Windows dhe Linux.

I zhvilluar në gjuhën e programimit Rust, malware P2Pinfect përdor të paktën dy metoda për të fituar qasje fillestare në sistemet e synuara. Metoda e parë shfrytëzon një cenueshmëri kritike që u zbulua dhe u korrigjua në vitin 2022. Metoda e dytë përfiton nga një veçori brenda Redis që mundëson përsëritjen e bazës së të dhënave kryesore për përmirësimin e disponueshmërisë së lartë dhe për të kundërshtuar skenarët e dështimit.

Malware P2Pinfect përdor vektorë të ndryshëm infeksioni

Fillimisht, P2PInfect kapitalizoi një cenueshmëri kritike të identifikuar si CVE-2022-0543, e cila kishte një rezultat maksimal të ashpërsisë prej 10 nga 10. Kjo e metë sigurie preku në mënyrë specifike sistemet Debian dhe i përkiste një cenueshmërie të arratisjes së sandbox LUA që rezulton nga një problem paketimi. Shfrytëzimi i kësaj dobësie dha aftësi të ekzekutimit të kodit në distancë, duke paraqitur një kërcënim të rëndësishëm për sistemet e prekura.

Pasi një shembull i cenueshëm Redis rrezikohet duke përdorur një ngarkesë fillestare, P2PInfect vazhdon të shkarkojë skriptet e reja dhe binarët me qëllim të keq të përshtatur për sistemin operativ specifik. Për më tepër, serveri i infektuar është i regjistruar në listën e sistemeve të komprometuara të malware. Më pas, malware integron serverin e infektuar në rrjetin e tij peer-to-peer, duke lehtësuar shpërndarjen e ngarkesave me qëllim të keq në serverët e ardhshëm Redis të komprometuar.

Studiuesit që hetuan P2PInfect zbuluan gjithashtu një mostër që demonstroi përputhshmërinë ndër-platformë, duke treguar se malware ishte krijuar për të synuar si mjediset Windows ashtu edhe Linux. Ky mostër i veçantë përmbante binarët Portable Executable (PE) dhe ELF, duke e lejuar atë të funksionojë në të dy sistemet operative pa probleme. Interesante, ky variant përdori një metodë të ndryshme të aksesit fillestar, duke shfrytëzuar funksionin e replikimit Redis, i cili mundëson gjenerimin e kopjeve të sakta të shembullit kryesor/lider Redis.

Malware P2Pinfect përhapet dhe shton sistemet e komprometuara në një Botnet

Ngarkesa kryesore e malware është një binar ELF, i shkruar me zgjuarsi në një kombinim të gjuhëve programuese C dhe Rust. Pas ekzekutimit, ai aktivizon komponentin Rust të ngarkesës për të marrë përsipër.

Pasi të aktivizohet, binar vazhdon të bëjë ndryshime kritike në konfigurimin SSH në hostin e synuar. Ai modifikon konfigurimin e serverit OpenSSH që t'i ngjajë një gjendje pothuajse të paracaktuar, duke i dhënë sulmuesit akses në server përmes protokollit të sigurt të guaskës (SSH) dhe duke mundësuar vërtetimin e fjalëkalimit. Më pas, aktori i kërcënimit rinis shërbimin SSH dhe shton një çelës SSH në listën e çelësave të autorizuar për përdoruesin aktual, duke siguruar akses të papenguar në sistemin e komprometuar.

Në fazën pasuese, sulmuesi vendos një skript bash për të manipuluar emrat e binarëve wget dhe curl. Skripti gjithashtu verifikon praninë e shërbimeve specifike dhe i instalon ato nëse nuk janë tashmë të disponueshme. Përdorimi i një mjeti të murit të zjarrit, duket të jetë një masë e përdorur nga malware për të mbrojtur serverin e cenueshëm Redis nga sulmuesit e tjerë të mundshëm. Malware vendos qëndrueshmëri në hostin e komprometuar, duke siguruar funksionimin e tij të vazhdueshëm.

Më pas, serveri i infektuar është i pajisur me të paktën një binar të aftë për të skanuar përmes drejtorisë /proc dhe për të hyrë në stat për çdo proces në të. Për më tepër, binar mund të monitorojë në mënyrë aktive drejtorinë /proc për çdo ndryshim.

Për më tepër, binar posedon aftësinë për të përmirësuar binarin primar malware dhe për ta ekzekutuar atë nëse nënshkrimi aktual nuk përputhet me atë të marrë nga botnet.

Duke trajtuar çdo server Redis të komprometuar si një nyje, P2PInfect e transformon rrjetin në një botnet peer-to-peer. Ky botnet funksionon pa nevojën për një server të centralizuar Command-and-Control (C2), duke i dhënë atij mundësinë për të marrë udhëzime në mënyrë autonome.