P2Pinfect skadlig programvara

Hotaktörer utför attacker på sårbara instanser av SSH och Redis, ett datalager med öppen källkod. Dessa bedrägliga aktörer använder en peer-to-peer självreplikerande mask känd som P2Pinfect, som har versioner designade för både Windows och Linux operativsystem.

Utvecklad i programmeringsspråket Rust, använder P2Pinfect skadlig programvara minst två metoder för att få initial tillgång till målsystem. Den första metoden utnyttjar en kritisk sårbarhet som avslöjades och korrigerades 2022. Den andra metoden drar fördel av en funktion inom Redis som möjliggör replikering av huvuddatabasen för förbättrad hög tillgänglighet och för att motverka failover-scenarier.

P2Pinfect Malware använder olika infektionsvektorer

Inledningsvis utnyttjade P2PInfect en kritisk sårbarhet identifierad som CVE-2022-0543, som hade ett maximalt allvarlighetsvärde på 10 av 10. Denna säkerhetsbrist påverkade specifikt Debiansystem och gällde en LUA-sandlådeflyktsårbarhet till följd av ett paketeringsproblem. Exploateringen av denna sårbarhet gav fjärrkörning av kod, vilket utgör ett betydande hot mot de drabbade systemen.

När en sårbar Redis-instans har äventyrats med en initial nyttolast, fortsätter P2PInfect att ladda ner nya skript och skadliga binärer skräddarsydda för det specifika operativsystemet. Dessutom är den infekterade servern listad i skadlig programvaras lista över komprometterade system. Därefter integrerar skadlig programvara den infekterade servern i sitt peer-to-peer-nätverk, vilket underlättar spridningen av skadliga nyttolaster till framtida komprometterade Redis-servrar.

Forskare som undersökte P2PInfect upptäckte också ett prov som visade plattformsoberoende kompatibilitet, vilket tyder på att skadlig programvara var utformad för att rikta in sig på både Windows- och Linux-miljöer. Det här specifika exemplet innehöll Portable Executable (PE) och ELF-binärer, vilket gjorde att det kunde fungera på båda operativsystemen sömlöst. Intressant nog använde denna variant en annan metod för initial åtkomst, som utnyttjade Redis-replikeringsfunktionen, som möjliggör generering av exakta repliker av huvud-/ledande Redis-instansen.

P2Pinfect skadlig programvara sprider och lägger till de komprometterade systemen till ett botnät

Den primära nyttolasten för skadlig programvara är en ELF-binär, skickligt skriven i en kombination av programmeringsspråken C och Rust. Vid exekvering utlöser den Rust-komponenten i nyttolasten att ta över.

När den väl har aktiverats fortsätter binären med att göra kritiska ändringar i SSH-konfigurationen på målvärden. Den ändrar OpenSSH-serverkonfigurationen så att den liknar ett nästan standardtillstånd, vilket ger angriparen åtkomst till servern genom protokollet Secure Shell (SSH) och möjliggör lösenordsautentisering. Därefter startar hotaktören om SSH-tjänsten och lägger till en SSH-nyckel till listan över auktoriserade nycklar för den aktuella användaren, vilket säkerställer obehindrad åtkomst till det komprometterade systemet.

I den efterföljande fasen distribuerar angriparen ett bash-skript för att manipulera namnen på wget- och curl-binärfilerna. Skriptet verifierar också förekomsten av specifika verktyg och installerar dem om de inte redan är tillgängliga. Användningen av ett brandväggsverktyg verkar vara en åtgärd som används av skadlig programvara för att skydda den sårbara Redis-servern från andra potentiella angripare. Skadlig programvara etablerar persistens på den komprometterade värden, vilket säkerställer att den fungerar kontinuerligt.

Därefter är den infekterade servern utrustad med minst en binär som kan skanna igenom katalogen /proc och komma åt statistiken för varje process däri. Dessutom kan binären aktivt övervaka /proc-katalogen för eventuella ändringar.

Dessutom har binären förmågan att uppgradera den primära skadliga binären och exekvera den om den aktuella signaturen inte matchar den som hämtas från botnätet.

Genom att behandla varje komprometterad Redis-server som en nod förvandlar P2PInfect nätverket till ett peer-to-peer-botnät. Detta botnät fungerar utan behov av en centraliserad Command-and-Control-server (C2), vilket ger det möjlighet att ta emot instruktioner autonomt.