P2Pinfect kenkėjiška programa skirta tiek Windows, tiek Linux Redis serveriams

Neseniai pasirodė nauja ir labai sudėtinga kenkėjiškų programų kampanija, pavadinta „P2Pinfect“, skirta viešai prieinamiems „Redis“ duomenų saugyklos diegimams. „Cado Security Labs“ atskleidė, kad kenkėjiška programa yra užkoduota „Rust“ programavimo kalba, todėl atsiranda sudėtingumo, dėl kurio sunku ją analizuoti.

Norint pateikti kontekstą, verta paminėti, kad prieš Cado Security atlikdami P2Pinfect analizę, Unit42 mokslininkai jau atliko atskirą tos pačios kenkėjiškos programos Windows varianto tyrimą.

„Cado Security“ tyrėjai nustatė, kad „P2Pinfect“ kenkėjiška programa veikia kaip „botnet“ agentas ir turi unikalią galimybę sklandžiai veikti tiek „Windows“, tiek „Linux“ platformose. Jie kenkėjiškų programų pavyzdyje nustatė įdėtą nešiojamąjį vykdomąjį failą (PE) ir papildomą ELF vykdomąjį failą, patvirtinantį, kad jis gali užkrėsti sistemas, veikiančias abiejose operacinėse sistemose.

P2Pinfect veikimo režimas

Kenkėjiška programa pradeda savo įsibrovimą į pažeistas sistemas, naudodama „Redis“ duomenų saugyklų replikacijos funkciją. Pasiekus replikaciją, kenkėjiška programa pradeda įkelti kenksmingą bendrinamo objekto failą, suteikdama jam atvirkštinę prieigą prie apvalkalo ir galią vykdyti savavališkas apvalkalo komandas pagrindiniame kompiuteryje.

Kad išvengtų aptikimo ir analizės, kenkėjiška programinė įranga naudoja sudėtingus vengimo būdus, todėl ją identifikuoti tampa sudėtingiau.

Įtvirtinusi atramą, P2Pinfect elgiasi kaip kirminas, aktyviai bandydamas plisti į kitus tinklo pagrindinius kompiuterius. Jis aktyviai ieško atvirų Redis ir SSH serverių, naudodamas slaptažodžių sąrašą, kad galėtų pradėti žiaurios jėgos atakas.

Be to, kenkėjiška programa sukuria decentralizuotą peer-to-peer robotų tinklą, kuriame užkrėsti serveriai veikia kaip mazgai, jungiantys kitus pažeistus serverius. Šis metodas leidžia botnetui bendrauti tarpusavyje nepasikliaujant centralizuotu komandų ir valdymo (C2) serveriu.

„Cado Security Labs“ taip pat išsiaiškino, kad kenkėjiška programa gali numesti ir vykdyti papildomus krovinius. Tačiau, kaip ir Unit42 išvadose, jie nepastebėjo jokios kriptovaliutos gavybos veiklos analizuojamame pavyzdyje.

Ekspertai pažymėjo, kad kenkėjiškos programos architektūra leidžia jos operatoriui greitai dislokuoti bet kokią jų pasirinktą naudingąją apkrovą. Jie įsipareigojo toliau stebėti P2Pinfect ir teikti naujinimus, kai atsiras naujų įvykių.