P2Pinfect 惡意軟件

威脅行為者正在對 SSH 和 Redis（一種開源數據存儲）的易受攻擊的實例進行攻擊。這些欺詐者使用一種名為 P2Pinfect 的點對點自我複制蠕蟲，該蠕蟲具有針對 Windows 和 Linux 操作系統設計的版本。

P2Pinfect 惡意軟件採用 Rust 編程語言開發，利用至少兩種方法來獲得對目標系統的初始訪問權限。第一種方法利用了 2022 年披露並修補的一個關鍵漏洞。第二種方法利用了 Redis 內的一項功能，該功能可以復制主數據庫，以提高高可用性並應對故障轉移場景。

P2Pinfect 惡意軟件使用不同的感染媒介

最初，P2PInfect 利用了一個名為CVE-2022-0543 的嚴重漏洞，該漏洞的最高嚴重性評分為10 分（滿分10 分）。該安全缺陷特別影響Debian 系統，並且與打包問題導致的LUA 沙箱逃逸漏洞有關。利用此漏洞授予遠程代碼執行能力，對受影響的系統構成重大威脅。

一旦使用初始有效負載破壞了易受攻擊的 Redis 實例，P2PInfect 就會繼續下載針對特定操作系統定制的新腳本和惡意二進製文件。此外，受感染的服務器會被列入惡意軟件的受損系統列表中。隨後，惡意軟件將受感染的服務器集成到其對等網絡中，從而促進惡意負載傳播到未來受感染的 Redis 服務器。

調查 P2PInfect 的研究人員還發現了一個展示跨平台兼容性的樣本，表明該惡意軟件旨在針對 Windows 和 Linux 環境。該特定樣本包含可移植可執行文件 (PE) 和 ELF 二進製文件，使其能夠在兩個操作系統上無縫運行。有趣的是，這個變體採用了不同的初始訪問方法，利用 Redis 複製功能，可以生成主/領導 Redis 實例的精確副本。

P2Pinfect 惡意軟件傳播並將受感染的系統添加到殭屍網絡中

該惡意軟件的主要有效負載是 ELF 二進製文件，巧妙地結合 C 和 Rust 編程語言編寫。執行後，它會觸發有效負載的 Rust 組件來接管。

一旦激活，二進製文件就會對目標主機上的 SSH 配置進行關鍵更改。它將 OpenSSH 服務器配置修改為接近默認狀態，允許攻擊者通過安全外殼 (SSH) 協議訪問服務器並啟用密碼身份驗證。接下來，威脅參與者重新啟動 SSH 服務，並將 SSH 密鑰添加到當前用戶的授權密鑰列表中，以確保不受阻礙地訪問受感染的系統。

在後續階段，攻擊者部署 bash 腳本來操縱 wget 和 curl 二進製文件的名稱。該腳本還會驗證特定實用程序是否存在，如果尚不可用則安裝它們。使用防火牆實用程序似乎是惡意軟件用來保護易受攻擊的 Redis 服務器免受其他潛在攻擊者侵害的措施。該惡意軟件在受感染的主機上建立持久性，確保其持續運行。

隨後，受感染的服務器配備了至少一個能夠掃描 /proc 目錄並訪問其中每個進程的統計信息的二進製文件。此外，二進製文件可以主動監視 /proc 目錄的任何更改。

此外，如果當前簽名與從殭屍網絡檢索到的簽名不匹配，該二進製文件還能夠升級主要惡意軟件二進製文件並執行它。

通過將每個受感染的 Redis 服務器視為一個節點，P2PInfect 將網絡轉變為點對點殭屍網絡。該殭屍網絡無需集中式命令與控制（C2）服務器即可運行，使其能夠自主接收指令。