P2Pinfect Malware

Ang mga aktor ng pagbabanta ay nagsasagawa ng mga pag-atake sa mga mahihinang pagkakataon ng SSH at Redis, isang open-source na data store. Ang mga mapanlinlang na aktor na ito ay gumagamit ng peer-to-peer na self-replicating worm na kilala bilang P2Pinfect, na may mga bersyon na idinisenyo para sa parehong Windows at Linux operating system.

Binuo sa Rust programming language, ang P2Pinfect malware ay gumagamit ng hindi bababa sa dalawang paraan upang makakuha ng paunang access sa mga target na system. Sinasamantala ng unang paraan ang isang kritikal na kahinaan na isiniwalat at na-patch noong 2022. Sinasamantala ng pangalawang paraan ang isang feature sa loob ng Redis na nagbibigay-daan sa pagkopya ng pangunahing database para sa pinahusay na mataas na kakayahang magamit at upang kontrahin ang mga senaryo ng failover.

Gumagamit ang P2Pinfect Malware ng Iba't ibang Vector ng Infection

Sa una, ginamit ng P2PInfect ang isang kritikal na kahinaan na tinukoy bilang CVE-2022-0543, na may pinakamataas na marka ng kalubhaan na 10 sa 10. Partikular na naapektuhan ng security flaw na ito ang mga Debian system at nauugnay sa isang LUA sandbox escape vulnerability na nagreresulta mula sa isang isyu sa packaging. Ang pagsasamantala sa kahinaang ito ay nagbigay ng mga kakayahan sa pagpapatupad ng malayuang code, na nagdudulot ng malaking banta sa mga apektadong sistema.

Kapag nakompromiso ang isang mahinang instance ng Redis gamit ang isang paunang payload, magpapatuloy ang P2PInfect upang mag-download ng mga bagong script at malisyosong binary na iniakma para sa partikular na operating system. Higit pa rito, ang infected na server ay naka-enlist sa listahan ng malware ng mga nakompromisong system. Kasunod nito, isinasama ng malware ang infected na server sa peer-to-peer network nito, na pinapadali ang pagpapakalat ng mga nakakahamak na payload sa mga nakompromisong Redis server sa hinaharap.

Natuklasan din ng mga mananaliksik na nag-iimbestiga sa P2PInfect ang isang sample na nagpakita ng cross-platform compatibility, na nagpapahiwatig na ang malware ay idinisenyo upang i-target ang parehong Windows at Linux environment. Ang partikular na sample na ito ay naglalaman ng Portable Executable (PE) at ELF binary, na nagbibigay-daan dito na gumana sa parehong operating system nang walang putol. Kapansin-pansin, gumamit ang variant na ito ng ibang paraan ng paunang pag-access, na ginagamit ang tampok na replikasyon ng Redis, na nagbibigay-daan sa pagbuo ng mga eksaktong replika ng pangunahing/pinuno na halimbawa ng Redis.

Ang P2Pinfect Malware ay Kumakalat at Nagdaragdag ng Mga Nakompromisong Sistema sa isang Botnet

Ang pangunahing payload ng malware ay isang ELF binary, matalinong nakasulat sa kumbinasyon ng C at Rust programming language. Kapag naisakatuparan, nati-trigger nito ang Rust component ng payload na pumalit.

Kapag na-activate na, magpapatuloy ang binary na gumawa ng mga kritikal na pagbabago sa configuration ng SSH sa target na host. Binabago nito ang configuration ng OpenSSH server upang maging katulad ng isang malapit na default na estado, na nagbibigay ng access sa attacker sa server sa pamamagitan ng secure na shell (SSH) protocol at pagpapagana ng password authentication. Susunod, ire-restart ng threat actor ang serbisyo ng SSH at magdagdag ng SSH key sa listahan ng mga awtorisadong key para sa kasalukuyang user, na tinitiyak ang walang hadlang na pag-access sa nakompromisong system.

Sa kasunod na yugto, ang attacker ay nag-deploy ng isang bash script upang manipulahin ang mga pangalan ng wget at curl binary. Bine-verify din ng script ang pagkakaroon ng mga partikular na utility at ini-install ang mga ito kung hindi pa ito magagamit. Ang paggamit ng isang firewall utility, ay lumilitaw na isang panukalang ginagamit ng malware upang protektahan ang mahinang Redis server mula sa iba pang mga potensyal na umaatake. Ang malware ay nagtatatag ng pagtitiyaga sa nakompromisong host, na tinitiyak ang tuluy-tuloy na operasyon nito.

Kasunod nito, ang infected na server ay nilagyan ng hindi bababa sa isang binary na may kakayahang mag-scan sa direktoryo ng /proc at ma-access ang stat para sa bawat proseso doon. Bukod pa rito, maaaring aktibong subaybayan ng binary ang /proc na direktoryo para sa anumang mga pagbabago.

Higit pa rito, ang binary ay nagtataglay ng kakayahang i-upgrade ang pangunahing malware binary at isagawa ito kung ang kasalukuyang lagda ay hindi tumutugma sa isa na nakuha mula sa botnet.

Sa pamamagitan ng pagtrato sa bawat nakompromisong Redis server bilang isang node, binabago ng P2PInfect ang network sa isang peer-to-peer na botnet. Gumagana ang botnet na ito nang hindi nangangailangan ng isang sentralisadong Command-and-Control (C2) server, na nagbibigay dito ng kakayahang tumanggap ng mga tagubilin nang awtonomiya.