P2Pinfect 惡意軟件同時針對 Windows 和 Linux Redis 服務器

最近出現了一種名為“P2Pinfect”的新型且高度複雜的惡意軟件活動，其目標是可公開訪問的 Redis 數據存儲部署。 Cado 安全實驗室透露，該惡意軟件是用 Rust 編程語言編碼的，這帶來了複雜性，使其難以分析。

為了提供背景信息，值得注意的是，在 Cado Security 對 P2Pinfect 進行分析之前，Unit42 研究人員已經對同一惡意軟件的 Windows 變體進行了單獨檢查。

Cado Security 的研究人員發現，P2Pinfect 惡意軟件充當殭屍網絡代理，並擁有在 Windows 和 Linux 平台上無縫運行的獨特能力。他們在惡意軟件樣本中發現了一個嵌入式可移植可執行文件（PE）和一個額外的 ELF 可執行文件，確認了其感染在兩個操作系統上運行的系統的能力。

P2Pinfect 的運作模式

該惡意軟件通過利用 Redis 數據存儲的複制功能來入侵受感染的系統。一旦實現複製，惡意軟件就會繼續加載惡意共享對象文件，授予其反向 shell 訪問權限以及在主機上執行任意 shell 命令的能力。

為了逃避檢測和分析，該惡意軟件採用了複雜的規避技術，使其識別更具挑戰性。

建立立足點後，P2Pinfect 通過主動嘗試將自身傳播到網絡內的其他主機，從而表現出類似蠕蟲的行為。它主動掃描暴露的 Redis 和 SSH 服務器，使用密碼列表發起暴力攻擊。

此外，該惡意軟件還建立了一個分散的點對點殭屍網絡，其中受感染的服務器充當與其他受感染服務器連接的節點。這種方法使殭屍網絡能夠相互通信，而無需依賴集中式命令和控制（C2）服務器。

Cado 安全實驗室還發現該惡意軟件能夠刪除並執行額外的有效負載。然而，與 Unit42 的調查結果類似，他們在分析的樣本中沒有觀察到任何加密貨幣挖礦活動。

專家指出，該惡意軟件的架構允許其操作者快速部署他們選擇的任何有效負載。他們承諾繼續監控 P2Pinfect 並在出現新進展時提供更新。