Novi P2PInfect Botnet

Sigurnosni istraživači su otkrili novi P2PInfect botnet koji posebno cilja uređaje zasnovane na 32-bitnim MIPS procesorima, gdje pokušava napadom grube sile dobiti SSH pristup ovim uređajima.

P2PInfect Botnet

Novi P2PInfect Botnet; Source: Bing Image Creator

P2PINFECT

Sigurnosni istraživači kompanije Cado Security Labs od jula 2023. godine prate brzi rast višeplatformske botnet mreže nazvane P2Pinfect. Ovaj zlonamjerni‚softver je napisan u programskom jeziku Rust i ponaša se kao botnet agent povezujući zaražene uređaje u peer-to-peer topologiji.

U ranim uzorcima, zlonamjerni softver je iskoristio Redis servere za početni pristup – relativno uobičajenu tehniku u okruženjima u oblaku. Postoji veliki broj metoda za iskorišćavanje Redis servera, od kojih se čini da P2Pinfect koristi nekoliko. Među njima i iskorišćavanje CVE-2022-0543 ranjivosti za izbjegavanje izolovanih sigurnosnih okruženja (eng. sandbox) u LUA skript jeziku, ako i neovlašteni napad replikacije koji dovodi do učitavanja zlonamjernog Redis modula.

 

Nova varijanta

Sada su istraživači pronašli novu varijantu zlonamjernog softvera, koja posebno cilja na ugrađene uređaje zasnovane na 32-bitnim MIPS (eng. Microprocessor without Interlocked Pipelined Stages) procesorima, gdje pokušava napadom grube sile dobiti SSH pristup ovim uređajima.

Razumno je pretpostaviti da ciljajući MIPS, programeri P2Pinfect zlonamjernog softvera namjeravaju da zaraze rutere i IoT uređaje zlonamjernim softverom. Upotreba MIPS procesora je uobičajena za ove uređaje, a arhitektura je i ranije bila na meti botnet zlonamjernog softvera, uključujući porodice visokog profila kao što je Mirai, i njegove varijante.

Pored toga, ovaj uzorak zlonamjernog softvera ima i neke značajne tehnike za izbjegavanje odbrambenih mehanizama, što u kombinaciji sa programskim jezikom Rust pomaže rastu ove botnet mreže. To sve upućuje da iza ovog zlonamjernog softvera stoji napredni zlonamjerni akter.

 

Funkcionisanje

Sigurnosni istraživači su pronašli varijantu zlonamjernog softvera koje se šalju preko SFTP (eng. Secure File Transfer Protocol) i SCP (eng. Secure copy protocol), za razliku od prethodnih varijanti koje su primijećene kako skeniranju SSH servere i pokušavaju da šire zlonajeni softver preko SSH kao dio procedure širenja crva (eng. worming).

Kao i druge botnet mreže P2Pinfect zlonamjerni softver koristi niz uobičajenih parova korisničko ime/lozinka, pokrećući SSH vezu sa serverima identifikovanim tokom faze skeniranja da bi izvršio napad grubom silom korištenjem ovih parova. Uz to, otkriveno je da zlonamjerni softver može da iskoristi Redis na MIPS uređajima korištenjem OpenWRT paketa pod nazivom redis-server.

 

Tehnike izbjegavanja

Statička analiza MIPS varijante otkrila je 32-bitnu ELF binarnu datoteku sa uklonjenim informacijama za otklanjanje grešaka, kao i ugrađeni 64-bitni Windows DLL. Ovaj DLL funkcioniše kao zlonamjerni modul koji se može učitati za Redis, uvodeći funkciju izbjegavanje virtuelne mašine kako bi se dodatno komplikovali napori analize.

Ono što takođe izdvaja ovu varijantu je primjena nove tehnike izbjegavanja koja se zove TracerPid koja pokreće podređeni proces za otkrivanje alata za dinamičku analizu. Ako identifikacija procesa dođe ne dođe sa vrijednošću 0, ovaj zlonamjerni softver smatra da se vrši njegova analiza i odmah će prekinuti nadređeni i podređeni proces.

Ovaj zlonamjerni softver će pokušati i da onemogući deponovanje Linux jezgra, što se vjerovatno koristi kao anti-forenzička procedura, jer memorijski regioni upisani na disk kao deponovani dio jezgra često mogu da sadrže interne informacije o samom zlonamjernom softveru. Moguće je i da ovaj uzorak zlonamjernog softvera sprečava deponovanje Linux jezgra kao bi se održala dostupnost samog MIPS uređaja, pošto ovi uređaji imaju malo lokalnog prostora za skladištenje. Nedostatak prostora na ovim uređajima utiče na njihovu dostupnost, kao i na performanse ovih uređaja.

 

ZAKLJUČAK

P2Pinfect zlonamjerni softver kroz konstantnu evoluciju pokazuje da iza njega očigledno stoji napredan i odlučan zlonamjerni akter, koji ulaže značajne napore da bi inficirani uređaj i ugrađeni izvršni fajlovi izbjegavali detekciju. Djelovanje na više platformi i korištenje različitih tehnika izbjegavanja pokazuju napredan nivo sofisticiranosti kada je u pitanju razvoj zlonamjernog softvera. Sve to upućuje da će botnet mreža nastaviti da raste sve dok je zlonamjerni akter ne iskorist onako kako je zamislio.

 

ZAŠTITA

Otkrivanje nove varijante P2Pinfect zlonamjernog softvera samo ukazuje na potrebu za poboljšanim merama sajber bezbednosti, posebno u domenu interneta stvari (eng. Internet of Things – IoT). Poslovne organizacije i korisnici bi trebalo da preduzmu proaktivne korake da zaštite svoje uređaje i mreže od ovih pretnji koje se razvijaju. Evo nekoliko savjeta koje treba uzeti u obzir:

  • Ažuriranje svih uređaja i softvera je ključno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvođači često objavljuju bezbednosna ažuriranja i ispravke kako bi riješili probleme poznatih ranjivosti. Blagovremenom primenom ovih ažuriranja, korisnici mogu da zatvore potencijalne ulazne tačke za napadače.
  • Primena jakih i jedinstvenih lozinki za sve uređaje, posebno IoT uređaje, može značajno smanjiti rizik od napada grubom silom. Pored toga, omogućavanje autentifikacije u dva koraka (2FA) dodaje dodatni sloj sigurnosti zahtevajući dodatni korak provjere identititea.
  • Segmentacija mreže može ograničiti potencijalni uticaj infekcije zlonamjernim softverom. Izolujući IoT uređaje od kritičnih sistema i drugih uređaja, posovne organizacije mogu da obuzdaju širenje zlonamjernog softvera i da smanje potencijalnu štetu.
  • Upotreba softverskih riješenaja za otkrivanje upada i alata za praćenje mreže može pomoći u identifikaciji neobičnih aktivnosti i potencijalnih napada. Ovi sistemi mogu da obezbede upozorenja u realnom vremenu, omogućavajući timovima za bezbednost da brzo reaguju kako bi ublažili uticaj napada.
  • Edukacija korisnika o rizicima i najboljim praksama iz sajber bezbednosti je od suštinskog značaja. Redovne obuke mogu pomoći u podizanju svesti o potencijalnim pretnjama koje predstavlja zlonamjerni softver i važnosti praćenja bezbednih praksi.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.