{"id":5811,"date":"2023-12-14T23:31:56","date_gmt":"2023-12-14T22:31:56","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5811"},"modified":"2023-12-14T23:31:56","modified_gmt":"2023-12-14T22:31:56","slug":"novi-p2pinfect-botnet","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/12\/14\/novi-p2pinfect-botnet\/","title":{"rendered":"Novi P2PInfect Botnet"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su <a href=\"https:\/\/www.cadosecurity.com\/p2pinfect-new-variant-targets-mips-devices\/\" target=\"_blank\" rel=\"noopener\">otkrili novi <em>P2PInfect<\/em> <em>botnet<\/em><\/a> koji posebno cilja ure\u0111aje zasnovane na 32-bitnim <em>MIPS<\/em> procesorima, gdje poku\u0161ava <a href=\"https:\/\/sajberinfo.com\/en\/2023\/09\/07\/brute-force-attack\/\" target=\"_blank\" rel=\"nofollow noopener\">napadom grube sile<\/a> dobiti <em>SSH<\/em> pristup ovim ure\u0111ajima.<\/span><\/p>\n<div id=\"attachment_5817\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-5817\" class=\"size-full wp-image-5817\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Novi-P2PInfect-Botnet.jpg\" alt=\"P2PInfect Botnet\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Novi-P2PInfect-Botnet.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Novi-P2PInfect-Botnet-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Novi-P2PInfect-Botnet-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Novi-P2PInfect-Botnet-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Novi-P2PInfect-Botnet-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Novi-P2PInfect-Botnet-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Novi-P2PInfect-Botnet-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-5817\" class=\"wp-caption-text\">Novi P2PInfect Botnet; Source: Bing Image Creator<\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/14\/novi-p2pinfect-botnet\/#P2PINFECT\">P2PINFECT<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/14\/novi-p2pinfect-botnet\/#Nova_varijanta\">Nova varijanta<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/14\/novi-p2pinfect-botnet\/#Funkcionisanje\">Funkcionisanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/14\/novi-p2pinfect-botnet\/#Tehnike_izbjegavanja\">Tehnike izbjegavanja<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/14\/novi-p2pinfect-botnet\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/14\/novi-p2pinfect-botnet\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"P2PINFECT\"><\/span><span style=\"font-size: 14pt;\"><strong><em>P2PINFECT<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di kompanije <em>Cado Security Labs<\/em> od jula 2023. godine prate brzi rast vi\u0161eplatformske <em><a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/24\/botnet\/\" target=\"_blank\" rel=\"nofollow noopener\">botnet<\/a> <\/em>mre\u017ee nazvane <em>P2Pinfect<\/em>. Ovaj <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni\u201asoftver<\/a> je napisan u programskom jeziku <em>Rust<\/em> i pona\u0161a se kao <em>botnet <\/em>agent povezuju\u0107i zara\u017eene ure\u0111aje u <em>peer-to-peer<\/em> topologiji.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U ranim uzorcima, zlonamjerni softver je iskoristio <em>Redis<\/em> servere za po\u010detni pristup \u2013 relativno uobi\u010dajenu tehniku u okru\u017eenjima u oblaku. Postoji veliki broj metoda za iskori\u0161\u0107avanje <em>Redis<\/em> servera, od kojih se \u010dini da P2Pinfect koristi nekoliko. Me\u0111u njima i iskori\u0161\u0107avanje <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-0543\" target=\"_blank\" rel=\"noopener\"><em>CVE-2022-0543<\/em><\/a> ranjivosti za izbjegavanje izolovanih sigurnosnih okru\u017eenja (eng. <em>sandbox<\/em>) u <em>LUA<\/em> skript jeziku, ako i neovla\u0161teni napad replikacije koji dovodi do u\u010ditavanja zlonamjernog <em>Redis<\/em> modula.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Nova_varijanta\"><\/span><span style=\"font-size: 14pt;\"><strong>Nova varijanta<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Sada su istra\u017eiva\u010di prona\u0161li novu varijantu zlonamjernog softvera, koja posebno cilja na ugra\u0111ene ure\u0111aje zasnovane na 32-bitnim <em>MIPS<\/em> (eng. <em>Microprocessor without Interlocked Pipelined Stages<\/em>) procesorima, gdje poku\u0161ava napadom grube sile dobiti <em>SSH<\/em> pristup ovim ure\u0111ajima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Razumno je pretpostaviti da ciljajuc\u0301i <em>MIPS<\/em>, programeri <em>P2Pinfect<\/em> zlonamjernog softvera namjeravaju da zaraze rutere i <em>IoT<\/em> ure\u0111aje zlonamjernim softverom. Upotreba <em>MIPS<\/em> procesora je uobi\u010dajena za ove ure\u0111aje, a arhitektura je i ranije bila na meti <em>botnet<\/em> zlonamjernog softvera, uklju\u010duju\u0107i porodice visokog profila kao \u0161to je <em>Mirai<\/em>, i njegove varijante.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored toga, ovaj uzorak zlonamjernog softvera ima i neke zna\u010dajne tehnike za izbjegavanje odbrambenih mehanizama, \u0161to u kombinaciji sa programskim jezikom <em>Rust<\/em> poma\u017ee rastu ove <em>botnet<\/em> mre\u017ee. To sve upu\u0107uje da iza ovog zlonamjernog softvera stoji napredni <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akter<\/a>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><span style=\"font-size: 14pt;\"><strong>Funkcionisanje<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su prona\u0161li varijantu zlonamjernog softvera koje se \u0161alju preko <em>SFTP<\/em> (eng. <em>Secure<\/em> <em>File<\/em> <em>Transfer<\/em> <em>Protocol<\/em>) i <em>SCP<\/em> (eng. <em>Secure<\/em> <em>copy<\/em> <em>protocol<\/em>), za razliku od prethodnih varijanti koje su primije\u0107ene kako skeniranju <em>SSH<\/em> servere i poku\u0161avaju da \u0161ire zlonajeni softver preko SSH kao dio procedure \u0161irenja <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/worm\/\" target=\"_blank\" rel=\"nofollow noopener\">crva<\/a> (eng. <em>worming<\/em>).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kao i druge <em>botnet<\/em> mre\u017ee <em>P2Pinfect<\/em> zlonamjerni softver koristi niz uobi\u010dajenih parova korisni\u010dko ime\/lozinka, pokre\u0107u\u0107i SSH vezu sa serverima identifikovanim tokom faze skeniranja da bi izvr\u0161io napad grubom silom kori\u0161tenjem ovih parova. Uz to, otkriveno je da zlonamjerni softver mo\u017ee da iskoristi <em>Redis<\/em> na <em>MIPS<\/em> ure\u0111ajima kori\u0161tenjem <em>OpenWRT<\/em> paketa pod nazivom <em>redis-server<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Tehnike_izbjegavanja\"><\/span><span style=\"font-size: 14pt;\"><strong>Tehnike izbjegavanja<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Stati\u010dka analiza <em>MIPS<\/em> varijante otkrila je 32-bitnu <em>ELF<\/em> binarnu datoteku sa uklonjenim informacijama za otklanjanje gre\u0161aka, kao i ugra\u0111eni 64-bitni <em>Windows DLL<\/em>. Ovaj <em>DLL<\/em> funkcioni\u0161e kao zlonamjerni modul koji se mo\u017ee u\u010ditati za <em>Redis<\/em>, uvode\u0107i funkciju izbjegavanje virtuelne ma\u0161ine kako bi se dodatno komplikovali napori analize.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ono \u0161to tako\u0111e izdvaja ovu varijantu je primjena nove tehnike izbjegavanja koja se zove <em>TracerPid<\/em> koja pokre\u0107e podre\u0111eni proces za otkrivanje alata za dinami\u010dku analizu. Ako identifikacija procesa do\u0111e ne do\u0111e sa vrijedno\u0161\u0107u 0, ovaj zlonamjerni softver smatra da se vr\u0161i njegova analiza i odmah \u0107e prekinuti nadre\u0111eni i podre\u0111eni proces.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovaj zlonamjerni softver \u0107e poku\u0161ati i da onemogu\u0107i deponovanje <em>Linux<\/em> jezgra, \u0161to se vjerovatno koristi kao anti-forenzi\u010dka procedura, jer memorijski regioni upisani na disk kao deponovani dio jezgra \u010desto mogu da sadr\u017ee interne informacije o samom zlonamjernom softveru. Mogu\u0107e je i da ovaj uzorak zlonamjernog softvera spre\u010dava deponovanje <em>Linux<\/em> jezgra kao bi se odr\u017eala dostupnost samog <em>MIPS<\/em> ure\u0111aja, po\u0161to ovi ure\u0111aji imaju malo lokalnog prostora za skladi\u0161tenje. Nedostatak prostora na ovim ure\u0111ajima uti\u010de na njihovu dostupnost, kao i na performanse ovih ure\u0111aja.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>P2Pinfect<\/em> zlonamjerni softver kroz konstantnu evoluciju pokazuje da iza njega o\u010digledno stoji napredan i odlu\u010dan zlonamjerni akter, koji ula\u017ee zna\u010dajne napore da bi inficirani ure\u0111aj i ugra\u0111eni izvr\u0161ni fajlovi izbjegavali detekciju. Djelovanje na vi\u0161e platformi i kori\u0161tenje razli\u010ditih tehnika izbjegavanja pokazuju napredan nivo sofisticiranosti kada je u pitanju razvoj zlonamjernog softvera. Sve to upu\u0107uje da \u0107e <em>botnet<\/em> mre\u017ea nastaviti da raste sve dok je zlonamjerni akter ne iskorist onako kako je zamislio.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Otkrivanje nove varijante <em>P2Pinfect<\/em> zlonamjernog softvera samo ukazuje na potrebu za pobolj\u0161anim merama sajber bezbednosti, posebno u domenu interneta stvari (eng. <em>Internet of Things \u2013 IoT<\/em>). Poslovne organizacije i korisnici bi trebalo da preduzmu proaktivne korake da za\u0161tite svoje ure\u0111aje i mre\u017ee od ovih pretnji koje se razvijaju. Evo nekoliko savjeta koje treba uzeti u obzir:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">A\u017euriranje svih ure\u0111aja i softvera je klju\u010dno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvo\u0111a\u010di \u010desto objavljuju bezbednosna a\u017euriranja i ispravke kako bi rije\u0161ili probleme poznatih ranjivosti. Blagovremenom primenom ovih a\u017euriranja, korisnici mogu da zatvore potencijalne ulazne ta\u010dke za napada\u010de.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primena jakih i jedinstvenih lozinki za sve ure\u0111aje, posebno <em>IoT<\/em> ure\u0111aje, mo\u017ee zna\u010dajno smanjiti rizik od napada grubom silom. Pored toga, omoguc\u0301avanje autentifikacije u dva koraka (<em>2FA<\/em>) dodaje dodatni sloj sigurnosti zahtevajuc\u0301i dodatni korak provjere identititea.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Segmentacija mre\u017ee mo\u017ee ograni\u010diti potencijalni uticaj infekcije zlonamjernim softverom. Izolujuc\u0301i <em>IoT<\/em> ure\u0111aje od kriti\u010dnih sistema i drugih ure\u0111aja, posovne organizacije mogu da obuzdaju \u0161irenje zlonamjernog softvera i da smanje potencijalnu \u0161tetu.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Upotreba softverskih rije\u0161enaja za otkrivanje upada i alata za prac\u0301enje mre\u017ee mo\u017ee pomoc\u0301i u identifikaciji neobi\u010dnih aktivnosti i potencijalnih napada. Ovi sistemi mogu da obezbede upozorenja u realnom vremenu, omoguc\u0301avajuc\u0301i timovima za bezbednost da brzo reaguju kako bi ubla\u017eili uticaj napada.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Edukacija korisnika o rizicima i najboljim praksama iz sajber bezbednosti je od su\u0161tinskog zna\u010daja. Redovne obuke mogu pomoc\u0301i u podizanju svesti o potencijalnim pretnjama koje predstavlja zlonamjerni softver i va\u017enosti prac\u0301enja bezbednih praksi.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Sigurnosni istra\u017eiva\u010di su otkrili novi P2PInfect botnet koji posebno cilja ure\u0111aje zasnovane na 32-bitnim MIPS procesorima, gdje poku\u0161ava napadom grube sile dobiti SSH pristup ovim ure\u0111ajima. P2PINFECT Sigurnosni istra\u017eiva\u010di kompanije Cado Security Labs od&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":5817,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[113,163,621,624,620,623,622,291,625],"class_list":["post-5811","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-botnet","tag-iot","tag-mips","tag-p2p","tag-p2pinfect","tag-redis","tag-rust","tag-ssh","tag-tracerpid"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5811","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5811"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5811\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5817"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5811"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5811"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5811"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}