P2Pinfect మాల్వేర్
బెదిరింపు నటులు SSH మరియు ఓపెన్ సోర్స్ డేటా స్టోర్ అయిన రెడిస్ యొక్క హాని కలిగించే సందర్భాలలో దాడులు చేస్తున్నారు. ఈ మోసపూరిత నటులు Windows మరియు Linux ఆపరేటింగ్ సిస్టమ్ల కోసం రూపొందించిన సంస్కరణలను కలిగి ఉన్న P2Pinfect అని పిలువబడే పీర్-టు-పీర్ స్వీయ-ప్రతిరూపణ పురుగును ఉపయోగిస్తున్నారు.
రస్ట్ ప్రోగ్రామింగ్ లాంగ్వేజ్లో అభివృద్ధి చేయబడిన, P2Pinfect మాల్వేర్ లక్ష్య సిస్టమ్లకు ప్రారంభ ప్రాప్యతను పొందడానికి కనీసం రెండు పద్ధతులను ఉపయోగిస్తుంది. మొదటి పద్ధతి 2022లో బహిర్గతం చేయబడిన మరియు పాచ్ చేయబడిన ఒక క్లిష్టమైన దుర్బలత్వాన్ని ఉపయోగించుకుంటుంది. రెండవ పద్ధతి రెడిస్లోని ఒక ఫీచర్ని సద్వినియోగం చేసుకుంటుంది, ఇది మెరుగైన అధిక లభ్యత కోసం మరియు ఫెయిల్ఓవర్ దృశ్యాలను ఎదుర్కోవడానికి ప్రధాన డేటాబేస్ యొక్క ప్రతిరూపణను అనుమతిస్తుంది.
P2Pinfect మాల్వేర్ వివిధ ఇన్ఫెక్షన్ వెక్టర్లను ఉపయోగిస్తుంది
ప్రారంభంలో, P2PInfect CVE-2022-0543గా గుర్తించబడిన ఒక క్లిష్టమైన దుర్బలత్వాన్ని 10కి 10 గరిష్ట తీవ్రత స్కోర్ని కలిగి ఉంది. ఈ భద్రతా లోపం డెబియన్ సిస్టమ్లను ప్రత్యేకంగా ప్రభావితం చేసింది మరియు ప్యాకేజింగ్ సమస్య ఫలితంగా LUA శాండ్బాక్స్ తప్పించుకునే దుర్బలత్వానికి సంబంధించినది. ఈ దుర్బలత్వం యొక్క దోపిడీ రిమోట్ కోడ్ అమలు సామర్థ్యాలను మంజూరు చేసింది, ఇది ప్రభావిత వ్యవస్థలకు గణనీయమైన ముప్పును కలిగిస్తుంది.
ప్రారంభ పేలోడ్ని ఉపయోగించి హాని కలిగించే Redis ఉదాహరణ రాజీపడిన తర్వాత, P2PInfect నిర్దిష్ట ఆపరేటింగ్ సిస్టమ్కు అనుగుణంగా కొత్త స్క్రిప్ట్లు మరియు హానికరమైన బైనరీలను డౌన్లోడ్ చేస్తుంది. ఇంకా, సోకిన సర్వర్ మాల్వేర్ రాజీపడిన సిస్టమ్ల జాబితాలో నమోదు చేయబడింది. తదనంతరం, మాల్వేర్ సోకిన సర్వర్ను దాని పీర్-టు-పీర్ నెట్వర్క్లోకి అనుసంధానిస్తుంది, భవిష్యత్తులో రాజీపడే రెడిస్ సర్వర్లకు హానికరమైన పేలోడ్ల వ్యాప్తిని సులభతరం చేస్తుంది.
P2PInfectని పరిశోధిస్తున్న పరిశోధకులు క్రాస్-ప్లాట్ఫారమ్ అనుకూలతను ప్రదర్శించే నమూనాను కూడా కనుగొన్నారు, మాల్వేర్ Windows మరియు Linux పరిసరాలను లక్ష్యంగా చేసుకునేలా రూపొందించబడిందని సూచిస్తుంది. ఈ ప్రత్యేక నమూనా పోర్టబుల్ ఎక్జిక్యూటబుల్ (PE) మరియు ELF బైనరీలను కలిగి ఉంది, ఇది రెండు ఆపరేటింగ్ సిస్టమ్లలో సజావుగా పనిచేయడానికి అనుమతిస్తుంది. ఆసక్తికరంగా, ఈ వేరియంట్ ప్రారంభ యాక్సెస్ యొక్క విభిన్న పద్ధతిని ఉపయోగించింది, ఇది Redis రెప్లికేషన్ ఫీచర్ను ప్రభావితం చేస్తుంది, ఇది మెయిన్/లీడర్ రెడిస్ ఇన్స్టాన్స్ యొక్క ఖచ్చితమైన ప్రతిరూపాల ఉత్పత్తిని అనుమతిస్తుంది.
P2Pinfect మాల్వేర్ వ్యాప్తి చెందుతుంది మరియు రాజీపడిన సిస్టమ్లను బోట్నెట్కు జోడిస్తుంది
మాల్వేర్ యొక్క ప్రాధమిక పేలోడ్ అనేది ELF బైనరీ, ఇది C మరియు రస్ట్ ప్రోగ్రామింగ్ లాంగ్వేజ్ల కలయికతో తెలివిగా వ్రాయబడింది. అమలు చేసిన తర్వాత, ఇది పేలోడ్ యొక్క రస్ట్ కాంపోనెంట్ను స్వాధీనం చేసుకోవడానికి ప్రేరేపిస్తుంది.
సక్రియం చేయబడిన తర్వాత, లక్ష్య హోస్ట్లోని SSH కాన్ఫిగరేషన్కు బైనరీ క్లిష్టమైన మార్పులను చేస్తుంది. ఇది ఓపెన్ఎస్ఎస్హెచ్ సర్వర్ కాన్ఫిగరేషన్ను సమీప డిఫాల్ట్ స్థితిని పోలి ఉండేలా మారుస్తుంది, దాడి చేసేవారికి సురక్షిత షెల్ (SSH) ప్రోటోకాల్ ద్వారా సర్వర్కు యాక్సెస్ను మంజూరు చేస్తుంది మరియు పాస్వర్డ్ ప్రమాణీకరణను ప్రారంభిస్తుంది. తర్వాత, బెదిరింపు నటుడు SSH సేవను పునఃప్రారంభించి, ప్రస్తుత వినియోగదారు కోసం అధీకృత కీల జాబితాకు SSH కీని జోడిస్తుంది, రాజీపడిన సిస్టమ్కు ఎటువంటి ఆటంకం లేకుండా యాక్సెస్ను నిర్ధారిస్తుంది.
తదుపరి దశలో, దాడి చేసే వ్యక్తి wget మరియు కర్ల్ బైనరీల పేర్లను మార్చడానికి ఒక బాష్ స్క్రిప్ట్ను అమలు చేస్తాడు. స్క్రిప్ట్ నిర్దిష్ట యుటిలిటీల ఉనికిని కూడా ధృవీకరిస్తుంది మరియు అవి ఇప్పటికే అందుబాటులో లేకుంటే వాటిని ఇన్స్టాల్ చేస్తుంది. ఫైర్వాల్ యుటిలిటీని ఉపయోగించడం అనేది ఇతర సంభావ్య దాడి చేసేవారి నుండి హాని కలిగించే Redis సర్వర్ను రక్షించడానికి మాల్వేర్ చేత ఉపయోగించబడిన కొలతగా కనిపిస్తుంది. మాల్వేర్ రాజీపడిన హోస్ట్పై పట్టుదలను ఏర్పరుస్తుంది, దాని నిరంతర ఆపరేషన్ను నిర్ధారిస్తుంది.
తదనంతరం, సోకిన సర్వర్ /proc డైరెక్టరీ ద్వారా స్కాన్ చేయగల కనీసం ఒక బైనరీని కలిగి ఉంటుంది మరియు దానిలోని ప్రతి ప్రక్రియ కోసం స్టాట్ను యాక్సెస్ చేయవచ్చు. అదనంగా, బైనరీ ఏదైనా మార్పుల కోసం /proc డైరెక్టరీని చురుకుగా పర్యవేక్షించగలదు.
ఇంకా, బైనరీ ప్రాథమిక మాల్వేర్ బైనరీని అప్గ్రేడ్ చేయగల సామర్థ్యాన్ని కలిగి ఉంటుంది మరియు ప్రస్తుత సంతకం బోట్నెట్ నుండి తిరిగి పొందిన దానితో సరిపోలకపోతే దాన్ని అమలు చేస్తుంది.
ప్రతి రాజీపడిన Redis సర్వర్ను నోడ్గా పరిగణించడం ద్వారా, P2PIinfect నెట్వర్క్ను పీర్-టు-పీర్ బోట్నెట్గా మారుస్తుంది. ఈ బోట్నెట్ కేంద్రీకృత కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ అవసరం లేకుండా పనిచేస్తుంది, ఇది స్వయంప్రతిపత్తితో సూచనలను స్వీకరించే సామర్థ్యాన్ని అందిస్తుంది.