P2Pinfect 恶意软件同时针对 Windows 和 Linux Redis 服务器

最近出现了一种名为“P2Pinfect”的新型且高度复杂的恶意软件活动，其目标是可公开访问的 Redis 数据存储部署。 Cado 安全实验室透露，该恶意软件是用 Rust 编程语言编码的，这带来了复杂性，使其难以分析。

为了提供背景信息，值得注意的是，在 Cado Security 对 P2Pinfect 进行分析之前，Unit42 研究人员已经对同一恶意软件的 Windows 变体进行了单独检查。

Cado Security 的研究人员发现，P2Pinfect 恶意软件充当僵尸网络代理，并拥有在 Windows 和 Linux 平台上无缝运行的独特能力。他们在恶意软件样本中发现了一个嵌入式可移植可执行文件（PE）和一个额外的 ELF 可执行文件，确认了其感染在两个操作系统上运行的系统的能力。

P2Pinfect 的运作模式

该恶意软件通过利用 Redis 数据存储的复制功能来入侵受感染的系统。一旦实现复制，恶意软件就会继续加载恶意共享对象文件，授予其反向 shell 访问权限以及在主机上执行任意 shell 命令的能力。

为了逃避检测和分析，该恶意软件采用了复杂的规避技术，使其识别更具挑战性。

建立立足点后，P2Pinfect 通过主动尝试将自身传播到网络内的其他主机，从而表现出类似蠕虫的行为。它主动扫描暴露的 Redis 和 SSH 服务器，使用密码列表发起暴力攻击。

此外，该恶意软件还建立了一个分散的点对点僵尸网络，其中受感染的服务器充当与其他受感染服务器连接的节点。这种方法使僵尸网络能够相互通信，而无需依赖集中式命令和控制（C2）服务器。

Cado 安全实验室还发现该恶意软件能够删除并执行额外的有效负载。然而，与 Unit42 的调查结果类似，他们在分析的样本中没有观察到任何加密货币挖矿活动。

专家指出，该恶意软件的架构允许其操作者快速部署他们选择的任何有效负载。他们承诺继续监控 P2Pinfect 并在出现新进展时提供更新。