Malware P2Pinfect

Los actores de amenazas están llevando a cabo ataques en instancias vulnerables de SSH y Redis, un almacén de datos de código abierto. Estos actores fraudulentos están utilizando un gusano autorreplicante de igual a igual conocido como P2Pinfect, que tiene versiones diseñadas para los sistemas operativos Windows y Linux.

Desarrollado en el lenguaje de programación Rust, el malware P2Pinfect utiliza al menos dos métodos para obtener acceso inicial a los sistemas de destino. El primer método explota una vulnerabilidad crítica que se reveló y parchó en 2022. El segundo método aprovecha una función dentro de Redis que permite la replicación de la base de datos principal para mejorar la alta disponibilidad y contrarrestar los escenarios de conmutación por error.

El malware P2Pinfect utiliza diferentes vectores de infección

Inicialmente, P2PInfect aprovechó una vulnerabilidad crítica identificada como CVE-2022-0543, que tenía una puntuación de gravedad máxima de 10 sobre 10. Esta falla de seguridad afectó específicamente a los sistemas Debian y se refería a una vulnerabilidad de escape de la caja de arena LUA resultante de un problema de empaquetado. La explotación de esta vulnerabilidad otorgó capacidades de ejecución remota de código, lo que representa una amenaza significativa para los sistemas afectados.

Una vez que una instancia vulnerable de Redis se ve comprometida mediante una carga útil inicial, P2PInfect procede a descargar nuevos scripts y archivos binarios maliciosos adaptados al sistema operativo específico. Además, el servidor infectado se incluye en la lista de sistemas comprometidos del malware. Posteriormente, el malware integra el servidor infectado en su red peer-to-peer, lo que facilita la diseminación de cargas útiles maliciosas a futuros servidores Redis comprometidos.

Los investigadores que investigaron P2PInfect también descubrieron una muestra que demostró compatibilidad entre plataformas, lo que indica que el malware fue diseñado para atacar entornos Windows y Linux. Esta muestra en particular contenía archivos binarios Portable Executable (PE) y ELF, lo que le permitía operar en ambos sistemas operativos sin problemas. Curiosamente, esta variante empleó un método diferente de acceso inicial, aprovechando la función de replicación de Redis, que permite la generación de réplicas exactas de la instancia de Redis principal/líder.

El malware P2Pinfect se propaga y agrega los sistemas comprometidos a una botnet

La carga útil principal del malware es un binario ELF, ingeniosamente escrito en una combinación de lenguajes de programación C y Rust. Tras la ejecución, activa el componente Rust de la carga útil para que se haga cargo.

Una vez activado, el binario procede a realizar alteraciones críticas en la configuración de SSH en el host de destino. Modifica la configuración del servidor OpenSSH para parecerse a un estado casi predeterminado, otorgando al atacante acceso al servidor a través del protocolo de shell seguro (SSH) y habilitando la autenticación de contraseña. Luego, el actor de amenazas reinicia el servicio SSH y agrega una clave SSH a la lista de claves autorizadas para el usuario actual, lo que garantiza el acceso sin obstáculos al sistema comprometido.

En la fase siguiente, el atacante implementa un script bash para manipular los nombres de los binarios wget y curl. El script también verifica la presencia de utilidades específicas y las instala si aún no están disponibles. El uso de una utilidad de firewall parece ser una medida empleada por el malware para proteger el vulnerable servidor Redis de otros posibles atacantes. El malware establece persistencia en el host comprometido, lo que garantiza su funcionamiento continuo.

Posteriormente, el servidor infectado está equipado con al menos un binario capaz de escanear a través del directorio /proc y acceder a las estadísticas de cada proceso en él. Además, el binario puede monitorear activamente el directorio /proc para cualquier cambio.

Además, el binario posee la capacidad de actualizar el binario de malware principal y ejecutarlo si la firma actual no coincide con la recuperada de la botnet.

Al tratar cada servidor Redis comprometido como un nodo, P2PInfect transforma la red en una red de bots punto a punto. Esta botnet funciona sin necesidad de un servidor de comando y control (C2) centralizado, lo que le otorga la capacidad de recibir instrucciones de forma autónoma.