P2Pinfect Kötü Amaçlı Yazılım

Tehdit aktörleri, savunmasız SSH örneklerine ve açık kaynaklı bir veri deposu olan Redis'e saldırılar gerçekleştiriyor. Bu sahtekar aktörler, hem Windows hem de Linux işletim sistemleri için tasarlanmış sürümleri olan, P2Pinfect olarak bilinen, eşler arası kendi kendini kopyalayan bir solucan kullanıyor.

Rust programlama dilinde geliştirilen P2Pinfect kötü amaçlı yazılımı, hedef sistemlere ilk erişim elde etmek için en az iki yöntem kullanır. İlk yöntem, 2022'de açıklanan ve yamalanan kritik bir güvenlik açığından yararlanır. İkinci yöntem, gelişmiş yüksek kullanılabilirlik ve yük devretme senaryolarına karşı koymak için ana veritabanının çoğaltılmasını sağlayan Redis içindeki bir özellikten yararlanır.

P2Pinfect Kötü Amaçlı Yazılımı Farklı Enfeksiyon Vektörleri Kullanıyor

Başlangıçta P2PInfect, CVE-2022-0543 olarak tanımlanan ve maksimum önem derecesi 10 üzerinden 10 olan kritik bir güvenlik açığından yararlandı. Bu güvenlik açığı, özellikle Debian sistemlerini etkiledi ve bir paketleme sorunundan kaynaklanan bir LUA sanal alan kaçış güvenlik açığıyla ilgiliydi. Bu güvenlik açığından yararlanılması, uzaktan kod yürütme yetenekleri sağladı ve etkilenen sistemler için önemli bir tehdit oluşturdu.

İlk yük kullanılarak savunmasız bir Redis örneğinin güvenliği ihlal edildiğinde, P2PInfect, belirli işletim sistemi için uyarlanmış yeni betikleri ve kötü amaçlı ikili dosyaları indirmeye devam eder. Ayrıca, virüslü sunucu, kötü amaçlı yazılımın güvenliği ihlal edilmiş sistemler listesine dahil edilir. Daha sonra, kötü amaçlı yazılım, virüs bulaşmış sunucuyu eşler arası ağına entegre ederek, kötü amaçlı yüklerin gelecekteki tehlike altındaki Redis sunucularına yayılmasını kolaylaştırır.

P2PInfect'i araştıran araştırmacılar ayrıca platformlar arası uyumluluğu gösteren ve kötü amaçlı yazılımın hem Windows hem de Linux ortamlarını hedeflemek üzere tasarlandığını gösteren bir örnek ortaya çıkardı. Bu özel örnek, Portable Executable (PE) ve ELF ikili dosyalarını içererek, her iki işletim sisteminde de sorunsuz bir şekilde çalışmasına izin verdi. İlginç bir şekilde, bu değişken, ana/lider Redis örneğinin tam kopyalarının oluşturulmasını sağlayan Redis çoğaltma özelliğinden yararlanan farklı bir ilk erişim yöntemi kullandı.

P2Pinfect Kötü Amaçlı Yazılım Yayılır ve Ele Geçirilmiş Sistemleri Bir Botnet'e Ekler

Kötü amaçlı yazılımın birincil yükü, C ve Rust programlama dillerinin birleşimiyle akıllıca yazılmış bir ELF ikili dosyasıdır. Yürütme üzerine, yükün Rust bileşenini devralması için tetikler.

İkili dosya etkinleştirildikten sonra, hedeflenen ana bilgisayardaki SSH yapılandırmasında kritik değişiklikler yapmaya devam eder. Saldırganın güvenli kabuk (SSH) protokolü aracılığıyla sunucuya erişmesine izin vererek ve parola kimlik doğrulamasını etkinleştirerek OpenSSH sunucu yapılandırmasını varsayılana yakın bir duruma benzeyecek şekilde değiştirir. Ardından, tehdit aktörü SSH hizmetini yeniden başlatır ve mevcut kullanıcı için yetkili anahtarlar listesine bir SSH anahtarı ekleyerek güvenliği ihlal edilmiş sisteme engelsiz erişim sağlar.

Sonraki aşamada, saldırgan, wget ve curl ikili dosyalarının adlarını değiştirmek için bir bash betiği dağıtır. Komut dosyası ayrıca belirli yardımcı programların varlığını doğrular ve mevcut değilse bunları yükler. Bir güvenlik duvarı yardımcı programının kullanılması, kötü amaçlı yazılım tarafından savunmasız Redis sunucusunu diğer potansiyel saldırganlardan korumak için kullanılan bir önlem gibi görünüyor. Kötü amaçlı yazılım, güvenliği ihlal edilmiş ana bilgisayarda kalıcılık oluşturarak sürekli çalışmasını sağlar.

Ardından, virüslü sunucu, /proc dizini boyunca tarama yapabilen ve buradaki her işlem için istatistiğe erişebilen en az bir ikili dosya ile donatılır. Ek olarak, ikili dosya /proc dizinini herhangi bir değişiklik için aktif olarak izleyebilir.

Ayrıca ikili, birincil kötü amaçlı yazılım ikilisini yükseltme ve mevcut imza botnet'ten alınanla eşleşmezse onu çalıştırma yeteneğine sahiptir.

Güvenliği ihlal edilmiş her bir Redis sunucusunu bir düğüm olarak ele alan P2PInfect, ağı eşler arası bir botnet'e dönüştürür. Bu botnet, merkezi bir Komuta ve Kontrol (C2) sunucusuna ihtiyaç duymadan çalışarak, talimatları otonom olarak alma yeteneği sağlar.