P2Pinfect మాల్వేర్

బెదిరింపు నటులు SSH మరియు ఓపెన్ సోర్స్ డేటా స్టోర్ అయిన రెడిస్ యొక్క హాని కలిగించే సందర్భాలలో దాడులు చేస్తున్నారు. ఈ మోసపూరిత నటులు Windows మరియు Linux ఆపరేటింగ్ సిస్టమ్‌ల కోసం రూపొందించిన సంస్కరణలను కలిగి ఉన్న P2Pinfect అని పిలువబడే పీర్-టు-పీర్ స్వీయ-ప్రతిరూపణ పురుగును ఉపయోగిస్తున్నారు.

రస్ట్ ప్రోగ్రామింగ్ లాంగ్వేజ్‌లో అభివృద్ధి చేయబడిన, P2Pinfect మాల్వేర్ లక్ష్య సిస్టమ్‌లకు ప్రారంభ ప్రాప్యతను పొందడానికి కనీసం రెండు పద్ధతులను ఉపయోగిస్తుంది. మొదటి పద్ధతి 2022లో బహిర్గతం చేయబడిన మరియు పాచ్ చేయబడిన ఒక క్లిష్టమైన దుర్బలత్వాన్ని ఉపయోగించుకుంటుంది. రెండవ పద్ధతి రెడిస్‌లోని ఒక ఫీచర్‌ని సద్వినియోగం చేసుకుంటుంది, ఇది మెరుగైన అధిక లభ్యత కోసం మరియు ఫెయిల్‌ఓవర్ దృశ్యాలను ఎదుర్కోవడానికి ప్రధాన డేటాబేస్ యొక్క ప్రతిరూపణను అనుమతిస్తుంది.

P2Pinfect మాల్వేర్ వివిధ ఇన్ఫెక్షన్ వెక్టర్‌లను ఉపయోగిస్తుంది

ప్రారంభంలో, P2PInfect CVE-2022-0543గా గుర్తించబడిన ఒక క్లిష్టమైన దుర్బలత్వాన్ని 10కి 10 గరిష్ట తీవ్రత స్కోర్‌ని కలిగి ఉంది. ఈ భద్రతా లోపం డెబియన్ సిస్టమ్‌లను ప్రత్యేకంగా ప్రభావితం చేసింది మరియు ప్యాకేజింగ్ సమస్య ఫలితంగా LUA శాండ్‌బాక్స్ తప్పించుకునే దుర్బలత్వానికి సంబంధించినది. ఈ దుర్బలత్వం యొక్క దోపిడీ రిమోట్ కోడ్ అమలు సామర్థ్యాలను మంజూరు చేసింది, ఇది ప్రభావిత వ్యవస్థలకు గణనీయమైన ముప్పును కలిగిస్తుంది.

ప్రారంభ పేలోడ్‌ని ఉపయోగించి హాని కలిగించే Redis ఉదాహరణ రాజీపడిన తర్వాత, P2PInfect నిర్దిష్ట ఆపరేటింగ్ సిస్టమ్‌కు అనుగుణంగా కొత్త స్క్రిప్ట్‌లు మరియు హానికరమైన బైనరీలను డౌన్‌లోడ్ చేస్తుంది. ఇంకా, సోకిన సర్వర్ మాల్వేర్ రాజీపడిన సిస్టమ్‌ల జాబితాలో నమోదు చేయబడింది. తదనంతరం, మాల్వేర్ సోకిన సర్వర్‌ను దాని పీర్-టు-పీర్ నెట్‌వర్క్‌లోకి అనుసంధానిస్తుంది, భవిష్యత్తులో రాజీపడే రెడిస్ సర్వర్‌లకు హానికరమైన పేలోడ్‌ల వ్యాప్తిని సులభతరం చేస్తుంది.

P2PInfectని పరిశోధిస్తున్న పరిశోధకులు క్రాస్-ప్లాట్‌ఫారమ్ అనుకూలతను ప్రదర్శించే నమూనాను కూడా కనుగొన్నారు, మాల్వేర్ Windows మరియు Linux పరిసరాలను లక్ష్యంగా చేసుకునేలా రూపొందించబడిందని సూచిస్తుంది. ఈ ప్రత్యేక నమూనా పోర్టబుల్ ఎక్జిక్యూటబుల్ (PE) మరియు ELF బైనరీలను కలిగి ఉంది, ఇది రెండు ఆపరేటింగ్ సిస్టమ్‌లలో సజావుగా పనిచేయడానికి అనుమతిస్తుంది. ఆసక్తికరంగా, ఈ వేరియంట్ ప్రారంభ యాక్సెస్ యొక్క విభిన్న పద్ధతిని ఉపయోగించింది, ఇది Redis రెప్లికేషన్ ఫీచర్‌ను ప్రభావితం చేస్తుంది, ఇది మెయిన్/లీడర్ రెడిస్ ఇన్‌స్టాన్స్ యొక్క ఖచ్చితమైన ప్రతిరూపాల ఉత్పత్తిని అనుమతిస్తుంది.

P2Pinfect మాల్వేర్ వ్యాప్తి చెందుతుంది మరియు రాజీపడిన సిస్టమ్‌లను బోట్‌నెట్‌కు జోడిస్తుంది

మాల్వేర్ యొక్క ప్రాధమిక పేలోడ్ అనేది ELF బైనరీ, ఇది C మరియు రస్ట్ ప్రోగ్రామింగ్ లాంగ్వేజ్‌ల కలయికతో తెలివిగా వ్రాయబడింది. అమలు చేసిన తర్వాత, ఇది పేలోడ్ యొక్క రస్ట్ కాంపోనెంట్‌ను స్వాధీనం చేసుకోవడానికి ప్రేరేపిస్తుంది.

సక్రియం చేయబడిన తర్వాత, లక్ష్య హోస్ట్‌లోని SSH కాన్ఫిగరేషన్‌కు బైనరీ క్లిష్టమైన మార్పులను చేస్తుంది. ఇది ఓపెన్‌ఎస్‌ఎస్‌హెచ్ సర్వర్ కాన్ఫిగరేషన్‌ను సమీప డిఫాల్ట్ స్థితిని పోలి ఉండేలా మారుస్తుంది, దాడి చేసేవారికి సురక్షిత షెల్ (SSH) ప్రోటోకాల్ ద్వారా సర్వర్‌కు యాక్సెస్‌ను మంజూరు చేస్తుంది మరియు పాస్‌వర్డ్ ప్రమాణీకరణను ప్రారంభిస్తుంది. తర్వాత, బెదిరింపు నటుడు SSH సేవను పునఃప్రారంభించి, ప్రస్తుత వినియోగదారు కోసం అధీకృత కీల జాబితాకు SSH కీని జోడిస్తుంది, రాజీపడిన సిస్టమ్‌కు ఎటువంటి ఆటంకం లేకుండా యాక్సెస్‌ను నిర్ధారిస్తుంది.

తదుపరి దశలో, దాడి చేసే వ్యక్తి wget మరియు కర్ల్ బైనరీల పేర్లను మార్చడానికి ఒక బాష్ స్క్రిప్ట్‌ను అమలు చేస్తాడు. స్క్రిప్ట్ నిర్దిష్ట యుటిలిటీల ఉనికిని కూడా ధృవీకరిస్తుంది మరియు అవి ఇప్పటికే అందుబాటులో లేకుంటే వాటిని ఇన్‌స్టాల్ చేస్తుంది. ఫైర్‌వాల్ యుటిలిటీని ఉపయోగించడం అనేది ఇతర సంభావ్య దాడి చేసేవారి నుండి హాని కలిగించే Redis సర్వర్‌ను రక్షించడానికి మాల్వేర్ చేత ఉపయోగించబడిన కొలతగా కనిపిస్తుంది. మాల్వేర్ రాజీపడిన హోస్ట్‌పై పట్టుదలను ఏర్పరుస్తుంది, దాని నిరంతర ఆపరేషన్‌ను నిర్ధారిస్తుంది.

తదనంతరం, సోకిన సర్వర్ /proc డైరెక్టరీ ద్వారా స్కాన్ చేయగల కనీసం ఒక బైనరీని కలిగి ఉంటుంది మరియు దానిలోని ప్రతి ప్రక్రియ కోసం స్టాట్‌ను యాక్సెస్ చేయవచ్చు. అదనంగా, బైనరీ ఏదైనా మార్పుల కోసం /proc డైరెక్టరీని చురుకుగా పర్యవేక్షించగలదు.

ఇంకా, బైనరీ ప్రాథమిక మాల్వేర్ బైనరీని అప్‌గ్రేడ్ చేయగల సామర్థ్యాన్ని కలిగి ఉంటుంది మరియు ప్రస్తుత సంతకం బోట్‌నెట్ నుండి తిరిగి పొందిన దానితో సరిపోలకపోతే దాన్ని అమలు చేస్తుంది.

ప్రతి రాజీపడిన Redis సర్వర్‌ను నోడ్‌గా పరిగణించడం ద్వారా, P2PIinfect నెట్‌వర్క్‌ను పీర్-టు-పీర్ బోట్‌నెట్‌గా మారుస్తుంది. ఈ బోట్‌నెట్ కేంద్రీకృత కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ అవసరం లేకుండా పనిచేస్తుంది, ఇది స్వయంప్రతిపత్తితో సూచనలను స్వీకరించే సామర్థ్యాన్ని అందిస్తుంది.