P2Pinfect มัลแวร์

ผู้คุกคามกำลังทำการโจมตี SSH และ Redis ซึ่งเป็นที่เก็บข้อมูลโอเพ่นซอร์สที่มีช่องโหว่ ผู้ฉ้อโกงเหล่านี้กำลังใช้เวิร์มที่จำลองตัวเองแบบ peer-to-peer ที่รู้จักกันในชื่อ P2Pinfect ซึ่งมีเวอร์ชันที่ออกแบบมาสำหรับทั้งระบบปฏิบัติการ Windows และ Linux

พัฒนาด้วยภาษาโปรแกรม Rust มัลแวร์ P2Pinfect ใช้อย่างน้อยสองวิธีในการเข้าถึงระบบเป้าหมายในเบื้องต้น วิธีแรกใช้ประโยชน์จากช่องโหว่ร้ายแรงที่ได้รับการเปิดเผยและแพตช์ในปี 2022 วิธีที่สองใช้ประโยชน์จากฟีเจอร์ภายใน Redis ที่เปิดใช้งานการจำลองแบบของฐานข้อมูลหลักเพื่อความพร้อมใช้งานสูงที่ดีขึ้นและเพื่อตอบโต้สถานการณ์ที่ล้มเหลว

มัลแวร์ P2Pinfect ใช้เวกเตอร์การติดเชื้อที่แตกต่างกัน

ในขั้นต้น P2PInfect ใช้ประโยชน์จากช่องโหว่ที่สำคัญซึ่งระบุเป็น CVE-2022-0543 ซึ่งมีคะแนนความรุนแรงสูงสุด 10 เต็ม 10 ข้อบกพร่องด้านความปลอดภัยนี้ส่งผลกระทบโดยเฉพาะกับระบบ Debian และเกี่ยวข้องกับช่องโหว่ LUA sandbox escape ซึ่งเป็นผลมาจากปัญหาด้านบรรจุภัณฑ์ การใช้ประโยชน์จากช่องโหว่นี้ทำให้เกิดความสามารถในการเรียกใช้โค้ดจากระยะไกล ซึ่งเป็นภัยคุกคามที่สำคัญต่อระบบที่ได้รับผลกระทบ

เมื่ออินสแตนซ์ Redis ที่มีช่องโหว่ถูกโจมตีโดยใช้เพย์โหลดเริ่มต้น P2PInfect จะดำเนินการดาวน์โหลดสคริปต์ใหม่และไบนารีที่เป็นอันตรายซึ่งปรับแต่งมาสำหรับระบบปฏิบัติการเฉพาะ นอกจากนี้ เซิร์ฟเวอร์ที่ติดไวรัสยังถูกจัดอยู่ในรายชื่อระบบที่ถูกบุกรุกของมัลแวร์อีกด้วย ต่อจากนั้น มัลแวร์จะผสานรวมเซิร์ฟเวอร์ที่ติดไวรัสเข้ากับเครือข่ายเพียร์ทูเพียร์ อำนวยความสะดวกในการเผยแพร่เพย์โหลดที่เป็นอันตรายไปยังเซิร์ฟเวอร์ Redis ที่ถูกบุกรุกในอนาคต

นักวิจัยที่ตรวจสอบ P2PInfect ยังได้ค้นพบตัวอย่างที่แสดงให้เห็นถึงความเข้ากันได้ข้ามแพลตฟอร์ม ซึ่งบ่งชี้ว่ามัลแวร์ถูกออกแบบมาเพื่อกำหนดเป้าหมายทั้งสภาพแวดล้อม Windows และ Linux ตัวอย่างเฉพาะนี้มี Portable Executable (PE) และ ELF ไบนารี ทำให้สามารถทำงานบนระบบปฏิบัติการทั้งสองได้อย่างราบรื่น น่าสนใจ ตัวแปรนี้ใช้วิธีการเข้าถึงเริ่มต้นที่แตกต่างกัน โดยใช้ประโยชน์จากคุณลักษณะการจำลองแบบ Redis ซึ่งทำให้สามารถสร้างแบบจำลองที่แน่นอนของอินสแตนซ์ Redis หลัก/ตัวนำ

มัลแวร์ P2Pinfect แพร่กระจายและเพิ่มระบบที่ถูกบุกรุกไปยังบอตเน็ต

เพย์โหลดหลักของมัลแวร์คือไบนารีของ ELF ซึ่งเขียนขึ้นอย่างชาญฉลาดด้วยการผสมผสานระหว่างภาษาโปรแกรม C และ Rust เมื่อมีการดำเนินการ มันจะทริกเกอร์องค์ประกอบสนิมของเพย์โหลดเพื่อเข้าควบคุม

เมื่อเปิดใช้งานแล้ว ไบนารีจะดำเนินการแก้ไขที่สำคัญกับการกำหนดค่า SSH บนโฮสต์เป้าหมาย โดยจะปรับเปลี่ยนการกำหนดค่าเซิร์ฟเวอร์ OpenSSH ให้คล้ายกับสถานะใกล้เคียงค่าเริ่มต้น โดยให้สิทธิ์แก่ผู้โจมตีในการเข้าถึงเซิร์ฟเวอร์ผ่านโปรโตคอล Secure Shell (SSH) และเปิดใช้งานการพิสูจน์ตัวตนด้วยรหัสผ่าน จากนั้น ผู้ก่อภัยคุกคามจะรีสตาร์ทบริการ SSH และเพิ่มคีย์ SSH ลงในรายการคีย์ที่ได้รับอนุญาตสำหรับผู้ใช้ปัจจุบัน เพื่อให้แน่ใจว่าระบบที่ถูกบุกรุกจะไม่ถูกจำกัดการเข้าถึง

ในระยะต่อมา ผู้โจมตีใช้สคริปต์ทุบตีเพื่อจัดการชื่อของไบนารี wget และ curl สคริปต์ยังตรวจสอบการมีอยู่ของยูทิลิตี้เฉพาะและติดตั้งหากยังไม่พร้อมใช้งาน การใช้ยูทิลิตี้ไฟร์วอลล์ดูเหมือนจะเป็นมาตรการที่มัลแวร์ใช้เพื่อปกป้องเซิร์ฟเวอร์ Redis ที่มีช่องโหว่จากผู้โจมตีรายอื่น มัลแวร์สร้างการคงอยู่บนโฮสต์ที่ถูกบุกรุก เพื่อให้มั่นใจว่าการทำงานอย่างต่อเนื่อง

ต่อจากนั้น เซิร์ฟเวอร์ที่ติดไวรัสจะมีไบนารีอย่างน้อยหนึ่งตัวที่สามารถสแกนผ่านไดเร็กทอรี /proc และเข้าถึงสถิติสำหรับแต่ละกระบวนการในนั้น นอกจากนี้ ไบนารียังสามารถติดตามไดเร็กทอรี /proc สำหรับการเปลี่ยนแปลงใดๆ

นอกจากนี้ ไบนารียังมีความสามารถในการอัปเกรดไบนารีของมัลแวร์หลักและดำเนินการหากลายเซ็นปัจจุบันไม่ตรงกับลายเซ็นที่ดึงมาจากบอตเน็ต

ด้วยการปฏิบัติต่อเซิร์ฟเวอร์ Redis แต่ละเซิร์ฟเวอร์ที่ถูกบุกรุกเป็นโหนด P2PInfect จะเปลี่ยนเครือข่ายเป็นบอตเน็ตแบบเพียร์ทูเพียร์ บ็อตเน็ตนี้ทำงานโดยไม่จำเป็นต้องมีเซิร์ฟเวอร์ควบคุมและสั่งการจากส่วนกลาง (C2) ทำให้สามารถรับคำสั่งได้ด้วยตนเอง