行业新闻与博客

新型蠕虫状恶意软件 P2Pinfect 针对 Redis 部署

据观察,一种名为“P2Pinfect”的新型复杂恶意软件活动针对可公开访问的 Redis 数据存储部署。

根据 Cado 安全实验室周一发布的技术文章,该恶意软件是用 Rust 编写的,由于编程语言的复杂性,分析起来很困难。

作为上下文,在 Cado Security 遇到 P2Pinfect 和发布文章之间的时间里,Unit42 研究人员还发布了对该恶意软件 Windows 变体的单独分析。

特别是,Cado Security 研究人员观察到,P2Pinfect 恶意软件充当僵尸网络代理,并表现出 Windows 和 Linux 之间的跨平台兼容性。 

他们在恶意软件样本中发现了嵌入式可移植可执行文件(PE)和额外的 ELF 可执行文件,证实了其能够感染 Windows 和 Linux 系统。

该恶意软件通过利用 Redis 数据存储的复制功能获得对受感染系统的初始访问权限。复制完成后,恶意软件会加载恶意共享对象文件,授予反向 shell 访问权限以及在主机上运行任意 shell 命令的能力。

阅读有关支持 Redis 的恶意软件的更多信息:敦促组织修复 CISA 已利用缺陷目录中添加的 41 个漏洞

此外,恶意软件使用规避技术来阻碍动态分析,使检测和分析更具挑战性。

站稳脚跟后,P2Pinfect 表现出类似蠕虫的行为,积极尝试传播到网络上的其他主机。它扫描暴露的 Redis 和 SSH 服务器并使用密码列表来尝试暴力攻击。

该恶意软件还建立了一个点对点僵尸网络,其中受感染的服务器充当与其他受感染服务器连接的节点。这种去中心化的方法允许僵尸网络相互闲聊,而无需依赖集中式命令和控制(C2)服务器。

Cado 安全实验室发现该恶意软件可以删除并执行额外的有效负载。然而,与 Unit42 一样,他们没有在分析的样本中观察到加密货币挖掘行为。

帖子中写道:“此功能可能会在以后启用,并且恶意软件肯定能够自我更新以包含此类功能。”

“这使得操作员能够快速部署他们选择的任何有效负载。我们将继续监控该恶意软件并在发生时发布更新。”

需要帮助吗?联系我们的支持团队 在线客服