Шкідливе програмне забезпечення P2Pinfect

Зловмисники здійснюють атаки на вразливі екземпляри SSH і Redis, сховища даних з відкритим кодом. Ці шахраї використовують однорангового саморозмножуваного хробака, відомого як P2Pinfect, версії якого розроблені як для операційних систем Windows, так і для Linux.

Розроблене на мові програмування Rust, зловмисне програмне забезпечення P2Pinfect використовує принаймні два методи отримання первинного доступу до цільових систем. Перший метод використовує критичну вразливість, яку було розкрито та виправлено у 2022 році. Другий метод використовує переваги функції в Redis, яка дозволяє реплікувати основну базу даних для покращеної високої доступності та протидії сценаріям відновлення після збоїв.

Зловмисне програмне забезпечення P2Pinfect використовує різні вектори зараження

Спочатку P2PInfect скористався критичною вразливістю, ідентифікованою як CVE-2022-0543, яка мала максимальний бал серйозності 10 із 10. Цей недолік безпеки вплинув конкретно на системи Debian і стосувався вразливості вихідного середовища пісочниці LUA, яка виникла через проблему з пакуванням. Експлуатація цієї вразливості надала можливості віддаленого виконання коду, створюючи значну загрозу для уражених систем.

Коли вразливий екземпляр Redis скомпрометовано за допомогою початкового корисного навантаження, P2PInfect продовжує завантажувати нові сценарії та шкідливі двійкові файли, адаптовані для конкретної операційної системи. Крім того, заражений сервер вноситься до списку скомпрометованих систем шкідливого програмного забезпечення. Згодом зловмисне програмне забезпечення інтегрує інфікований сервер у свою однорангову мережу, сприяючи розповсюдженню зловмисного корисного навантаження на майбутні скомпрометовані сервери Redis.

Дослідники, які досліджували P2PInfect, також виявили зразок, який продемонстрував сумісність між платформами, вказуючи на те, що зловмисне програмне забезпечення було розроблено для націлювання як на середовища Windows, так і на Linux. Цей окремий зразок містив двійкові файли Portable Executable (PE) і ELF, що дозволяло бездоганно працювати в обох операційних системах. Цікаво, що цей варіант використовував інший метод початкового доступу, використовуючи функцію реплікації Redis, яка дає змогу генерувати точні копії головного/провідного екземпляра Redis.

Шкідливе програмне забезпечення P2Pinfect поширює та додає скомпрометовані системи до ботнету

Основним корисним навантаженням шкідливого програмного забезпечення є двійковий файл ELF, майстерно написаний на поєднанні мов програмування C і Rust. Після виконання він запускає компонент Rust корисного навантаження, щоб взяти на себе контроль.

Після активації двійковий файл продовжує вносити критичні зміни до конфігурації SSH на цільовому хості. Він змінює конфігурацію сервера OpenSSH так, щоб вона нагадувала стан за замовчуванням, надаючи зловмиснику доступ до сервера через протокол безпечної оболонки (SSH) і вмикаючи автентифікацію за паролем. Далі зловмисник перезапускає службу SSH і додає ключ SSH до списку авторизованих ключів для поточного користувача, забезпечуючи безперешкодний доступ до скомпрометованої системи.

На наступному етапі зловмисник розгортає сценарій bash для маніпулювання іменами двійкових файлів wget і curl. Сценарій також перевіряє наявність певних утиліт і встановлює їх, якщо вони ще не доступні. Використання утиліти брандмауера, здається, є заходом, який використовує зловмисне програмне забезпечення для захисту вразливого сервера Redis від інших потенційних зловмисників. Зловмисне програмне забезпечення встановлює постійність на скомпрометованому хості, забезпечуючи його безперервну роботу.

Згодом заражений сервер оснащений принаймні одним двійковим файлом, здатним сканувати каталог /proc і отримувати доступ до статистики для кожного процесу в ньому. Крім того, двійковий файл може активно стежити за будь-якими змінами в каталозі /proc.

Крім того, двійковий файл має можливість оновлювати основний двійковий файл шкідливого програмного забезпечення та виконувати його, якщо поточний підпис не збігається з отриманим із ботнету.

Розглядаючи кожен скомпрометований сервер Redis як вузол, P2PInfect перетворює мережу на одноранговий ботнет. Цей ботнет працює без необхідності використання централізованого сервера командування та контролю (C2), надаючи йому можливість автономно отримувати інструкції.