P2Pinfect-Malware zielt sowohl auf Windows- als auch auf Linux-Redis-Server ab

Kürzlich ist eine neuartige und hochentwickelte Malware-Kampagne namens „P2Pinfect“ aufgetaucht, die auf öffentlich zugängliche Bereitstellungen des Redis-Datenspeichers abzielt. Cado Security Labs enthüllte, dass die Malware in der Programmiersprache Rust codiert ist, was zu Komplexitäten führt, die die Analyse erschweren.

Um den Kontext zu verdeutlichen, ist es erwähnenswert, dass die Forscher von Unit42 vor der Analyse von P2Pinfect durch Cado Security bereits eine separate Untersuchung der Windows-Variante derselben Malware durchgeführt hatten.

Die Forscher von Cado Security fanden heraus, dass die P2Pinfect-Malware als Botnet-Agent fungiert und die einzigartige Fähigkeit besitzt, nahtlos sowohl auf Windows- als auch auf Linux-Plattformen zu funktionieren. Sie identifizierten eine eingebettete Portable Executable (PE) und eine zusätzliche ausführbare ELF-Datei in der Malware-Probe und bestätigten deren Fähigkeit, Systeme zu infizieren, die auf beiden Betriebssystemen laufen.

Funktionsweise von P2Pinfect

Die Malware beginnt ihr Eindringen in kompromittierte Systeme, indem sie die Replikationsfunktion von Redis-Datenspeichern ausnutzt. Sobald die Replikation erreicht ist, lädt die Malware eine schädliche Shared-Object-Datei und gewährt ihr dadurch Reverse-Shell-Zugriff und die Möglichkeit, beliebige Shell-Befehle auf dem Host auszuführen.

Um der Erkennung und Analyse zu entgehen, setzt die Malware ausgefeilte Umgehungstechniken ein, was ihre Identifizierung schwieriger macht.

Sobald P2Pinfect Fuß fasst, zeigt es ein wurmartiges Verhalten, indem es aktiv versucht, sich auf andere Hosts im Netzwerk auszubreiten. Es sucht aktiv nach exponierten Redis- und SSH-Servern und nutzt eine Liste von Passwörtern, um Brute-Force-Angriffe zu starten.

Darüber hinaus baut die Malware ein dezentrales Peer-to-Peer-Botnetz auf, in dem infizierte Server als Knotenpunkte fungieren, die sich mit anderen gefährdeten Servern verbinden. Dieser Ansatz ermöglicht es dem Botnetz, miteinander zu kommunizieren, ohne auf einen zentralen Command-and-Control-Server (C2) angewiesen zu sein.

Cado Security Labs hat außerdem herausgefunden, dass die Malware die Fähigkeit besitzt, zusätzliche Payloads abzuwerfen und auszuführen. Ähnlich wie Unit42 beobachteten sie jedoch in der analysierten Stichprobe keine Kryptowährungs-Mining-Aktivitäten.

Die Experten stellten fest, dass die Architektur der Malware es ihrem Betreiber ermöglicht, schnell jede gewünschte Nutzlast bereitzustellen. Sie verpflichteten sich, P2Pinfect weiterhin zu überwachen und Updates bereitzustellen, sobald neue Entwicklungen eintreten.