P2Pinfect மால்வேர்

SSH மற்றும் திறந்த மூல தரவு அங்காடியான Redis ஆகியவற்றின் பாதிக்கப்படக்கூடிய நிகழ்வுகள் மீது அச்சுறுத்தல் நடிகர்கள் தாக்குதல்களை நடத்துகின்றனர். இந்த மோசடி நடிகர்கள், விண்டோஸ் மற்றும் லினக்ஸ் இயங்குதளங்களுக்காக வடிவமைக்கப்பட்ட பதிப்புகளைக் கொண்ட P2Pinfect எனப்படும் பியர்-டு-பியர் சுய-பிரதிபலிப்பு புழுவைப் பயன்படுத்துகின்றனர்.

ரஸ்ட் நிரலாக்க மொழியில் உருவாக்கப்பட்டது, P2Pinfect மால்வேர் இலக்கு அமைப்புகளுக்கான ஆரம்ப அணுகலைப் பெற குறைந்தபட்சம் இரண்டு முறைகளைப் பயன்படுத்துகிறது. முதல் முறையானது 2022 இல் வெளிப்படுத்தப்பட்ட மற்றும் இணைக்கப்பட்ட ஒரு முக்கியமான பாதிப்பைப் பயன்படுத்திக் கொள்கிறது. இரண்டாவது முறையானது Redis இல் உள்ள ஒரு அம்சத்தைப் பயன்படுத்திக் கொள்கிறது, இது மேம்பட்ட உயர் கிடைக்கும் தன்மைக்காகவும் தோல்வியுற்ற சூழ்நிலைகளை எதிர்கொள்ளவும் முக்கிய தரவுத்தளத்தை நகலெடுக்க உதவுகிறது.

P2Pinfect மால்வேர் வெவ்வேறு தொற்று வெக்டர்களைப் பயன்படுத்துகிறது

ஆரம்பத்தில், P2PIinfect ஆனது CVE-2022-0543 என அடையாளம் காணப்பட்ட ஒரு முக்கியமான பாதிப்பைப் பயன்படுத்திக் கொண்டது, இது 10க்கு 10 அதிகபட்ச தீவிர மதிப்பெண்ணைக் கொண்டிருந்தது. இந்தப் பாதுகாப்புக் குறைபாடு குறிப்பாக டெபியன் அமைப்புகளைப் பாதித்தது மற்றும் பேக்கேஜிங் சிக்கலின் விளைவாக LUA சாண்ட்பாக்ஸ் தப்பிக்கும் பாதிப்புடன் தொடர்புடையது. இந்த பாதிப்பின் சுரண்டல் ரிமோட் குறியீடு செயல்படுத்தும் திறன்களை வழங்கியது, இது பாதிக்கப்பட்ட அமைப்புகளுக்கு குறிப்பிடத்தக்க அச்சுறுத்தலை ஏற்படுத்தியது.

ஆரம்ப பேலோடைப் பயன்படுத்தி பாதிக்கப்படக்கூடிய ரெடிஸ் நிகழ்வு சமரசம் செய்யப்பட்டவுடன், குறிப்பிட்ட இயக்க முறைமைக்கு ஏற்றவாறு புதிய ஸ்கிரிப்ட்கள் மற்றும் தீங்கிழைக்கும் பைனரிகளைப் பதிவிறக்குவதற்கு P2PInfect தொடர்கிறது. மேலும், பாதிக்கப்பட்ட சேவையகம் தீம்பொருளின் சமரசம் செய்யப்பட்ட அமைப்புகளின் பட்டியலில் பட்டியலிடப்பட்டுள்ளது. பின்னர், தீம்பொருள் பாதிக்கப்பட்ட சேவையகத்தை அதன் பியர்-டு-பியர் நெட்வொர்க்கில் ஒருங்கிணைக்கிறது, இது தீங்கிழைக்கும் பேலோடுகளை எதிர்கால சமரசம் செய்யப்பட்ட ரெடிஸ் சேவையகங்களுக்கு பரப்ப உதவுகிறது.

P2PInfect ஐ ஆராயும் ஆராய்ச்சியாளர்கள், குறுக்கு-தளம் பொருந்தக்கூடிய தன்மையை வெளிப்படுத்தும் ஒரு மாதிரியை கண்டுபிடித்தனர், இது தீம்பொருள் விண்டோஸ் மற்றும் லினக்ஸ் சூழல்களை குறிவைக்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது என்பதைக் குறிக்கிறது. இந்த குறிப்பிட்ட மாதிரியில் போர்ட்டபிள் எக்ஸிகியூடபிள் (PE) மற்றும் ELF பைனரிகள் உள்ளன, இது இரண்டு இயக்க முறைமைகளிலும் தடையின்றி செயல்பட அனுமதிக்கிறது. சுவாரஸ்யமாக, இந்த மாறுபாடு ஆரம்ப அணுகலுக்கான வேறுபட்ட முறையைப் பயன்படுத்தியது, இது ரெடிஸ் ரெப்ளிகேஷன் அம்சத்தை மேம்படுத்துகிறது, இது முக்கிய/தலைவர் ரெடிஸ் நிகழ்வின் சரியான பிரதிகளை உருவாக்க உதவுகிறது.

P2Pinfect மால்வேர் பரவுகிறது மற்றும் சமரசம் செய்யப்பட்ட கணினிகளை ஒரு பாட்நெட்டில் சேர்க்கிறது

தீம்பொருளின் முதன்மை பேலோட் என்பது ELF பைனரி ஆகும், இது C மற்றும் Rust நிரலாக்க மொழிகளின் கலவையில் புத்திசாலித்தனமாக எழுதப்பட்டுள்ளது. செயல்படுத்தப்பட்டவுடன், இது பேலோடின் ரஸ்ட் கூறுகளை எடுத்துக்கொள்ள தூண்டுகிறது.

செயல்படுத்தப்பட்டதும், இலக்கு ஹோஸ்டில் உள்ள SSH உள்ளமைவில் பைனரி முக்கியமான மாற்றங்களைச் செய்கிறது. இது OpenSSH சேவையக உள்ளமைவை, இயல்புநிலை நிலையை ஒத்திருக்கும் வகையில் மாற்றியமைக்கிறது, பாதுகாப்பான ஷெல் (SSH) நெறிமுறை மூலம் சேவையகத்தை தாக்குபவர் அணுகலை வழங்குகிறது மற்றும் கடவுச்சொல் அங்கீகாரத்தை செயல்படுத்துகிறது. அடுத்து, அச்சுறுத்தல் நடிகர் SSH சேவையை மறுதொடக்கம் செய்து, தற்போதைய பயனருக்கான அங்கீகரிக்கப்பட்ட விசைகளின் பட்டியலில் ஒரு SSH விசையைச் சேர்த்து, சமரசம் செய்யப்பட்ட கணினிக்கான தடையின்றி அணுகலை உறுதிசெய்கிறார்.

அடுத்த கட்டத்தில், தாக்குபவர் wget மற்றும் கர்ல் பைனரிகளின் பெயர்களைக் கையாள ஒரு பாஷ் ஸ்கிரிப்டைப் பயன்படுத்துகிறார். ஸ்கிரிப்ட் குறிப்பிட்ட பயன்பாடுகளின் இருப்பை சரிபார்க்கிறது மற்றும் அவை ஏற்கனவே கிடைக்கவில்லை என்றால் அவற்றை நிறுவுகிறது. ஃபயர்வால் பயன்பாட்டின் பயன்பாடு, பாதிக்கப்படக்கூடிய ரெடிஸ் சேவையகத்தை மற்ற சாத்தியமான தாக்குபவர்களிடமிருந்து பாதுகாக்க தீம்பொருளால் பயன்படுத்தப்படும் ஒரு நடவடிக்கையாகத் தோன்றுகிறது. தீம்பொருள் சமரசம் செய்யப்பட்ட ஹோஸ்டில் நிலைத்தன்மையை நிறுவுகிறது, அதன் தொடர்ச்சியான செயல்பாட்டை உறுதி செய்கிறது.

பின்னர், பாதிக்கப்பட்ட சேவையகம் குறைந்தபட்சம் ஒரு பைனரியுடன் பொருத்தப்பட்டுள்ளது, இது /proc கோப்பகத்தின் மூலம் ஸ்கேன் செய்து, அதில் உள்ள ஒவ்வொரு செயல்முறைக்கும் புள்ளிவிவரத்தை அணுகும் திறன் கொண்டது. கூடுதலாக, பைனரி எந்த மாற்றங்களுக்கும் /proc கோப்பகத்தை தீவிரமாக கண்காணிக்க முடியும்.

மேலும், பைனரி முதன்மை மால்வேர் பைனரியை மேம்படுத்தும் திறனைக் கொண்டுள்ளது மற்றும் தற்போதைய கையொப்பம் போட்நெட்டிலிருந்து மீட்டெடுக்கப்பட்ட கையொப்பத்துடன் பொருந்தவில்லை என்றால் அதைச் செயல்படுத்துகிறது.

சமரசம் செய்யப்பட்ட ஒவ்வொரு ரெடிஸ் சேவையகத்தையும் ஒரு முனையாகக் கருதுவதன் மூலம், பி2பிஇன்ஃபெக்ட் நெட்வொர்க்கை பியர்-டு-பியர் பாட்நெட்டாக மாற்றுகிறது. இந்த பாட்நெட் ஒரு மையப்படுத்தப்பட்ட கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்தின் தேவை இல்லாமல் இயங்குகிறது, இது வழிமுறைகளை தன்னியக்கமாக பெறும் திறனை வழங்குகிறது.