P2Pinfect-Malware

Bedrohungsakteure führen Angriffe auf anfällige Instanzen von SSH und Redis, einem Open-Source-Datenspeicher, durch. Diese betrügerischen Akteure verwenden einen sich selbst replizierenden Peer-to-Peer-Wurm namens P2Pinfect, von dem es Versionen gibt, die sowohl für Windows- als auch für Linux-Betriebssysteme entwickelt wurden.

Die in der Programmiersprache Rust entwickelte P2Pinfect-Malware nutzt mindestens zwei Methoden, um ersten Zugriff auf Zielsysteme zu erhalten. Die erste Methode nutzt eine kritische Schwachstelle aus, die im Jahr 2022 offengelegt und behoben wurde. Die zweite Methode nutzt eine Funktion in Redis, die die Replikation der Hauptdatenbank für eine verbesserte Hochverfügbarkeit und zur Abwehr von Failover-Szenarien ermöglicht.

P2Pinfect-Malware nutzt verschiedene Infektionsvektoren

Zunächst nutzte P2PInfect eine kritische Schwachstelle namens CVE-2022-0543 aus, die einen maximalen Schweregrad von 10 von 10 aufwies. Diese Sicherheitslücke betraf speziell Debian-Systeme und bezog sich auf eine LUA-Sandbox-Escape-Schwachstelle, die aus einem Verpackungsproblem resultierte. Die Ausnutzung dieser Schwachstelle ermöglicht die Remote-Codeausführung und stellt eine erhebliche Bedrohung für die betroffenen Systeme dar.

Sobald eine anfällige Redis-Instanz mit einer anfänglichen Nutzlast kompromittiert wird, lädt P2PInfect neue Skripts und bösartige Binärdateien herunter, die auf das jeweilige Betriebssystem zugeschnitten sind. Darüber hinaus wird der infizierte Server in die Liste der gefährdeten Systeme der Malware aufgenommen. Anschließend integriert die Malware den infizierten Server in ihr Peer-to-Peer-Netzwerk und erleichtert so die Verbreitung bösartiger Payloads auf künftig kompromittierte Redis-Server.

Forscher, die P2PInfect untersuchten, entdeckten außerdem ein Beispiel, das plattformübergreifende Kompatibilität zeigte, was darauf hindeutet, dass die Malware sowohl für Windows- als auch für Linux-Umgebungen konzipiert war. Dieses spezielle Beispiel enthielt Portable Executable (PE)- und ELF-Binärdateien, sodass es nahtlos auf beiden Betriebssystemen ausgeführt werden konnte. Interessanterweise verwendete diese Variante eine andere Methode des Erstzugriffs und nutzte die Redis-Replikationsfunktion, die die Generierung exakter Replikate der Haupt-/Leader-Redis-Instanz ermöglicht.

P2Pinfect-Malware verbreitet sich und fügt die kompromittierten Systeme einem Botnetz hinzu

Die primäre Nutzlast der Malware ist eine ELF-Binärdatei, die geschickt in einer Kombination aus den Programmiersprachen C und Rust geschrieben wurde. Bei der Ausführung löst es die Übernahme der Rust-Komponente der Nutzlast aus.

Nach der Aktivierung nimmt die Binärdatei wichtige Änderungen an der SSH-Konfiguration auf dem Zielhost vor. Es ändert die OpenSSH-Serverkonfiguration so, dass sie nahezu dem Standardzustand ähnelt, gewährt dem Angreifer Zugriff auf den Server über das Secure Shell-Protokoll (SSH) und ermöglicht die Passwortauthentifizierung. Als Nächstes startet der Bedrohungsakteur den SSH-Dienst neu und fügt der Liste der autorisierten Schlüssel für den aktuellen Benutzer einen SSH-Schlüssel hinzu, um einen ungehinderten Zugriff auf das kompromittierte System sicherzustellen.

In der darauffolgenden Phase setzt der Angreifer ein Bash-Skript ein, um die Namen der Wget- und Curl-Binärdateien zu manipulieren. Das Skript überprüft außerdem das Vorhandensein bestimmter Dienstprogramme und installiert diese, falls sie noch nicht verfügbar sind. Die Verwendung eines Firewall-Dienstprogramms scheint eine Maßnahme der Malware zu sein, um den anfälligen Redis-Server vor anderen potenziellen Angreifern zu schützen. Die Malware etabliert eine Persistenz auf dem kompromittierten Host und stellt so dessen kontinuierlichen Betrieb sicher.

Anschließend wird der infizierte Server mit mindestens einer Binärdatei ausgestattet, die das Verzeichnis /proc durchsuchen und auf die Statistiken für jeden darin enthaltenen Prozess zugreifen kann. Darüber hinaus kann die Binärdatei das Verzeichnis /proc aktiv auf Änderungen überwachen.

Darüber hinaus verfügt die Binärdatei über die Fähigkeit, die primäre Malware-Binärdatei zu aktualisieren und auszuführen, wenn die aktuelle Signatur nicht mit der aus dem Botnetz abgerufenen übereinstimmt.

Indem P2PInfect jeden kompromittierten Redis-Server als Knoten behandelt, verwandelt es das Netzwerk in ein Peer-to-Peer-Botnetz. Dieses Botnetz funktioniert ohne die Notwendigkeit eines zentralen Command-and-Control-Servers (C2) und hat daher die Möglichkeit, Anweisungen autonom zu empfangen.