P2Pinfect 恶意软件

威胁行为者正在对 SSH 和 Redis（一种开源数据存储）的易受攻击的实例进行攻击。这些欺诈者使用一种名为 P2Pinfect 的点对点自我复制蠕虫，该蠕虫具有针对 Windows 和 Linux 操作系统设计的版本。

P2Pinfect 恶意软件采用 Rust 编程语言开发，利用至少两种方法来获得对目标系统的初始访问权限。第一种方法利用了 2022 年披露并修补的一个严重漏洞。第二种方法利用了 Redis 内的一项功能，该功能可以复制主数据库，以提高高可用性并应对故障转移场景。

P2Pinfect 恶意软件使用不同的感染媒介

最初，P2PInfect 利用了一个名为 CVE-2022-0543 的严重漏洞，该漏洞的最高严重性评分为 10 分（满分 10 分）。该安全缺陷特别影响 Debian 系统，并且与打包问题导致的 LUA 沙箱逃逸漏洞有关。利用此漏洞授予远程代码执行能力，对受影响的系统构成重大威胁。

一旦使用初始有效负载破坏了易受攻击的 Redis 实例，P2PInfect 就会继续下载针对特定操作系统定制的新脚本和恶意二进制文件。此外，受感染的服务器会被列入恶意软件的受损系统列表中。随后，恶意软件将受感染的服务器集成到其对等网络中，从而促进恶意负载传播到未来受感染的 Redis 服务器。

调查 P2PInfect 的研究人员还发现了一个展示跨平台兼容性的样本，表明该恶意软件旨在针对 Windows 和 Linux 环境。该特定样本包含可移植可执行文件 (PE) 和 ELF 二进制文件，使其能够在两个操作系统上无缝运行。有趣的是，这个变体采用了不同的初始访问方法，利用 Redis 复制功能，可以生成主/领导 Redis 实例的精确副本。

P2Pinfect 恶意软件传播并将受感染的系统添加到僵尸网络中

该恶意软件的主要有效负载是 ELF 二进制文件，巧妙地结合 C 和 Rust 编程语言编写。执行后，它会触发有效负载的 Rust 组件来接管。

一旦激活，二进制文件就会对目标主机上的 SSH 配置进行关键更改。它将 OpenSSH 服务器配置修改为接近默认状态，允许攻击者通过安全外壳 (SSH) 协议访问服务器并启用密码身份验证。接下来，威胁参与者重新启动 SSH 服务，并将 SSH 密钥添加到当前用户的授权密钥列表中，以确保不受阻碍地访问受感染的系统。

在后续阶段，攻击者部署 bash 脚本来操纵 wget 和 curl 二进制文件的名称。该脚本还会验证特定实用程序是否存在，如果尚不可用则安装它们。使用防火墙实用程序似乎是恶意软件用来保护易受攻击的 Redis 服务器免受其他潜在攻击者侵害的措施。该恶意软件在受感染的主机上建立持久性，确保其持续运行。

随后，受感染的服务器配备了至少一个能够扫描 /proc 目录并访问其中每个进程的统计信息的二进制文件。此外，二进制文件可以主动监视 /proc 目录的任何更改。

此外，如果当前签名与从僵尸网络检索到的签名不匹配，该二进制文件还能够升级主要恶意软件二进制文件并执行它。

通过将每个受感染的 Redis 服务器视为一个节点，P2PInfect 将网络转变为点对点僵尸网络。该僵尸网络无需集中式命令与控制（C2）服务器即可运行，使其能够自主接收指令。