تکامل بات نت P2Pinfect توسط پیلودهای ماینر و باج‌ افزار

بات نت P2Pinfect، یک بدافزار مبتنی بر rust است که سرورهای Redis با پیکربندی نادرست را توسط باج ‌افزار و ماینرهای ارزهای دیجیتال مورد هدف قرار می‌دهد. این بدافزار از یک نمونه بات نت همتا به همتا یا نظیر به نظیر (P2P[1]) برای مکانیزم فرماندهی و کنترل (C2) خود استفاده می‌کند.

دسترسی اولیه بات نت P2Pinfect

بات نت P2Pinfect با بهره‌برداری از ویژگی‌ تکرار یا همانند سازی در Redis گسترش می‌یابد. آخرین به ‌روزرسانی‌ P2Pinfect و تجهیز آن به باج ‌افزار، ماینرهای ارزهای دیجیتال و عناصر روت‌کیت حاکی از آن است که این بات نت به دنبال گسترش بیشتر در سراسر شبکه اینترنت است.

بات نت P2PInfect نزدیک به یک سال پیش شناسایی شد و از آن زمان تاکنون به‌ روزرسانی‌هایی را برای هدف قرار دادن معماری‌های MIPS و ARM دریافت کرده است. Nozomi Networks اوایل ژانویه ۲۰۲۴، استفاده از این بدافزار را برای تحویل پیلودهای ماینر کشف کرد.

این بات نت معمولاً با هدف قرار دادن سرورهای Redis و ویژگی تکرار و همانند سازی آنها گسترش می‌یابد تا سیستم‌ قربانیان را به یکnode  (گره) دنبال کنندهء[2] سرور کنترل شده توسط مهاجم تبدیل کند. nodeهای Leader می‌توانند به ‌nodeهای دنبال کننده دستور دهند تا ماژول‌های دلخواه را بارگذاری کنند که این ویژگی برای اجرای کد در node‌های دنبال کننده استفاده می‌شود.

P2Pinfect از این امر با استفاده از دستور SLAVEOF برای تبدیل nodeهای Redis باز کشف شده به nodeهای دنبال کننده سرور مهاجم استفاده می‌کند. بات نت سپس از یک سری دستورات برای نوشتن یک فایل به اشتراک گذاشته شده (so.) استفاده کرده و سپس به node دنبال کننده دستور می‌دهد تا آن را بارگذاری کند. پس از انجام این کار، مهاجم می‌تواند دستورات دلخواه را برای node دنبال کننده ارسال کند تا اجرا شود.

بررسی پیلود اصلی

بات نت P2PInfect دارای قابلیت اسکن اینترنت برای یافتن سرورهای آسیب ‌پذیر است. این کرم مبتنی بر Rust علاوه بر انجام اقداماتی برای جلوگیری از سایر مهاجمان برای هدف قرار دادن همان سرور، به تغییر رمز عبور سایر کاربران، راه اندازی مجدد سرویس SSH با مجوز root و افزایش سطح دسترسی معروف است.

بات نت P2PInfect پس از راه‌اندازی، یک کلید SSH را در فایل کلید مُجاز برای کاربر فعلی قرار می‌دهد و یک سری دستورات را برای جلوگیری از دسترسی به نمونه Redis اجرا می‌کند. این کار برای جلوگیری از کشف و سوء استفاده مجدد از سرور توسط سایر مهاجمان است.

بات نت همچنین سعی می‌کند پیکربندی SSH را به ‌روزرسانی و این سرویس را مجدداً راه‌اندازی کند تا اجازه لاگین به یوزر root با استفاده از رمز عبور را بدهد. بات نت P2PInfect همچنین سعی خواهد کرد رمز عبور سایر کاربران را تغییر دهد و از sudo (در صورت داشتن مجوز) برای افزایش سطح دسترسی استفاده کند.

همانطور که از نام آن پیداست، P2PInfect، یک بات نت P2P است که در آن هر ماشین آلوده به عنوان یک node در شبکه عمل کرده و اتصال به چندین node دیگر را حفظ می‌کند.

این ویژگی باعث می‌شود بات نت P2PInfect یک شبکه mesh بزرگ را تشکیل دهد که نویسنده بدافزار از آن برای ارسال باینری‌های جدید در سراسر شبکه استفاده می‌کند.

نویسنده لازم است تا یک همتا (node) را مطلع سازد سپس آن همتا به سایر همتایان خود در شبکه اطلاع خواهد داد و باینری جدید به طور کامل در سراسر شبکه منتشر می‌شود.

به روزرسانی باینری اصلی بات نت P2Pinfect

به نظر می‌رسد باینری اصلی به طور کامل توسط tokio بازنویسی شده است. از جمله تغییرات رفتاری جدید در بات نت P2PInfect، استفاده از این بدافزار برای استقرار پیلودهای ماینر و باج ‌افزار است.

از آنجایی که این حمله، یک حمله غیر هدفمند و فرصت ‌طلبانه است، احتمالاً قربانیان آن کم اهمیت هستند و در نتیجه مبلغ باج درخواستی نیز پایین خواهد بود.

روت کیت حالت کاربر یا usermode نیز یک پیلود جدید برای این بات نت است که از متغیر محیطی LD_PRELOAD برای مخفی کردن فرآیندها و فایل‌های مخرب خود در برابر ابزارهای امنیتی استفاده می‌کند. این، تکنیکی است که توسط سایر گروه‌های رباینده ارز دیجیتال مانند TeamTNT نیز به کار گرفته شده است.

آدرس‌ کیف پول پیلود ماینر با پیلود باج ‌افزار متفاوت است و فرآیند ماینر به گونه‌ای پیکربندی شده است که تا حد ممکن تمام قدرت پردازشی را اشغال کند و باعث اختلال در عملکرد باج‌ افزار شود.

بات نت P2Pinfect یک بدافزار بسیار فراگیر می‌باشد که به بسیاری از سرورها گسترش یافته است. آخرین به‌روزرسانی‌های این بات نت (ماینر کریپتو، پیلود باج افزار و عناصر روت کیت)، حاکی از تلاش‌های مستمر نویسنده بدافزار برای گسترش بیشتر بات نت در شبکه اینترنت است.