П2Пинфецт Малваре

Актери претњи изводе нападе на рањиве инстанце ССХ-а и Редис-а, складиште података отвореног кода. Ови лажни актери користе пеер-то-пеер самореплицирајући црв познат као П2Пинфецт, који има верзије дизајниране и за Виндовс и за Линук оперативне системе.

Развијен у програмском језику Руст, П2Пинфецт малвер користи најмање две методе за добијање почетног приступа циљним системима. Први метод искоришћава критичну рањивост која је откривена и закрпљена 2022. Други метод користи предности функције у оквиру Редис-а која омогућава репликацију главне базе података ради побољшања високе доступности и за спречавање сценарија превазилажења грешке.

Злонамерни софтвер П2Пинфецт користи различите векторе инфекције

У почетку, П2ПИнфецт је искористио критичну рањивост идентификовану као ЦВЕ-2022-0543, која је имала максималну оцену озбиљности од 10 од 10. Ова безбедносна грешка је посебно утицала на Дебиан системе и односила се на рањивост ЛУА сандбок-а која је резултат проблема са паковањем. Искоришћавање ове рањивости омогућило је даљинско извршавање кода, што представља значајну претњу за погођене системе.

Када се рањива Редис инстанца компромитује коришћењем почетног корисног оптерећења, П2ПИнфецт наставља са преузимањем нових скрипти и злонамерних бинарних датотека прилагођених одређеном оперативном систему. Штавише, заражени сервер је уврштен на листу компромитованих система малвера. Након тога, злонамерни софтвер интегрише заражени сервер у своју пеер-то-пеер мрежу, олакшавајући ширење злонамерног садржаја на будуће компромитоване Редис сервере.

Истраживачи који су истраживали П2ПИнфецт такође су открили узорак који је показао компатибилност на више платформи, што указује да је малвер дизајниран да циља и Виндовс и Линук окружења. Овај конкретан пример је садржао Портабле Екецутабле (ПЕ) и ЕЛФ бинарне датотеке, омогућавајући му да ради на оба оперативна система неприметно. Занимљиво је да је ова варијанта користила другачији метод почетног приступа, користећи функцију репликације Редис, која омогућава генерисање тачних реплика главне/главне Редис инстанце.

П2Пинфецт Малваре шири и додаје компромитоване системе у ботнет

Примарни терет злонамерног софтвера је ЕЛФ бинарни фајл, паметно написан у комбинацији Ц и Руст програмских језика. Након извршења, покреће Руст компоненту корисног оптерећења да преузме.

Када се активира, бинарни програм наставља да прави критичне измене у ССХ конфигурацији на циљаном хосту. Он мења конфигурацију ОпенССХ сервера тако да личи на скоро подразумевано стање, дозвољавајући нападачу приступ серверу преко протокола безбедне љуске (ССХ) и омогућавајући аутентификацију лозинком. Затим, актер претње поново покреће ССХ услугу и додаје ССХ кључ на листу овлашћених кључева за тренутног корисника, обезбеђујући неометан приступ компромитованом систему.

У следећој фази, нападач примењује басх скрипту да манипулише именима вгет и цурл бинарних датотека. Скрипта такође проверава присуство одређених услужних програма и инсталира их ако већ нису доступни. Чини се да је употреба услужног програма заштитног зида мера коју користи малвер да заштити рањиви Редис сервер од других потенцијалних нападача. Малвер успоставља постојаност на компромитованом хосту, обезбеђујући његов континуирани рад.

Након тога, заражени сервер је опремљен са најмање једном бинарном датотеком која може да скенира кроз /проц директоријум и приступи статистици за сваки процес у њему. Поред тога, бинарни фајл може активно да надгледа директоријум /проц за било какве промене.

Штавише, бинарни фајл поседује могућност да надогради примарни бинарни програм малвера и да га изврши ако се тренутни потпис не поклапа са оним преузетим са ботнета.

Третирајући сваки компромитовани Редис сервер као чвор, П2ПИнфецт трансформише мрежу у пеер-то-пеер ботнет. Овај ботнет ради без потребе за централизованим сервером за команду и контролу (Ц2), што му даје могућност да самостално прима инструкције.