Daha önce zararsız olan bir Linux botnet’i, bir dizi kötü amaçlı ve sömürücü bileşen içerecek şekilde güncellendi.
Hayal gücünden uzak bir şekilde adlandırılan “P2PInfect”, ağlar arasında eşler arası, solucan benzeri bir şekilde yayılmak için Redis’in bellek içi veritabanı uygulamasını kullanan ve yol boyunca bir botnet oluşturan bir solucandır. O zamana kadar ilk kez yaklaşık bir yıl önce keşfedildihenüz kimseye gerçek bir zarar vermemişti; bu, yeni bulaştığı ağlarda çok az kargaşa yaratarak gizli bir etki yaratmak için kullandığı bir gerçekti.
Artık durum böyle değil. Cado Güvenlik’e göre, bir güncelleme yayıldı yepyeni bir rootkit, cryptominer ve hatta fidye yazılımı içeren dünya çapındaki P2PInfect enfeksiyonlarına karşı koruma sağlıyor.
Cado Security’nin Ar-Ge baş çözüm mühendisi Al Carchrie, “Geçen yıl orada oturup kafamızı kaşıyarak ‘Neden?’ diye soruyorduk”, zararsız botnet’i ilk kez gördüğünü hatırlıyor. “Son birkaç haftaya kadar değişikliklerin olduğunu görmedik; kollar ve bacaklar büyümüş gibi görünüyor.”
PRPInfect Nasıl Başladı?
İlk izlenimde araştırmacılar, P2PInfect hakkında açıklayabildikleri, bazılarını ise açıklayamadıklarını gözlemlediler.
İlk olarak bilinen: P2PInfect yanlış yapılandırılmış Redis entegreli sunucuları hedef aldı internetten ulaşılabilir. Kötü amaçlı yazılım, bir ağa böylesine bir giriş yaparak Redis’in lider-takipçi topolojisinden yararlandı; burada belirlenmiş bir “lider” düğüm, bazı verilerin birincil kopyasını yönetir ve tam kopyaları takipçi düğümlerden oluşan bir ağa yayar. Program bu mekanizmayı kendisini ağlar arasındaki Redis düğümleri arasında yaymak için kullandı.
Bu, komuta ve kontrol (C2) oluşturmanın ve potansiyel olarak ikinci aşama kötü amaçlı yazılımları yaymanın iyi bir yolu gibi görünüyordu. Ancak o zamanlar bu yarı botnet pek fazla kullanılmıyordu.
Ancak araştırmacılar, P2PInfect’in kodunda “madenci” kelimesinin belirdiğini fark etti; bu belki de gelecekte olacakların potansiyel bir göstergesiydi, ama daha fazlası değildi.
“En iyi tahminimiz, muhtemelen önemli bir kitle elde etmek için botnet olarak ilk yayılımı yapmaya çalıştıklarıydı, böylece planları uygulamaya girdiğinde daha etkili olacaktı çünkü önemli sayıda ana bilgisayara sahip olacaklardı ” diyor Carchrie.
Bu öngörü artık gerçekleşti.
P2PInfect Nasıl Gidiyor?
P2PInfect, kullanıcı modu rootkit’iyle güncellendi ve “madenci” ikili programı etkinleştirildi. O zamandan bu yana, kötü amaçlı yazılım kurbanlarını, yaklaşık 10.000 £’a eşdeğer olan yaklaşık 71 Monero madeni parayı kazmak için kullandı.
İlginç olan, .xls, .py, .sql ve daha fazlasını içeren çeşitli dosya türlerini hedef alan yeni bir fidye yazılımı bileşenidir. Teorik olarak korkutucu olsa da, P2PInfect’in bu yönü en az düşünülmüş gibi görünüyor.
Öncelikle, fidye yazılımı belirli dosya uzantılarını arar, ancak Linux, başlangıçta dosyaların mutlaka uzantılara sahip olmasını gerektirmez.
Daha da önemlisi: Redis, varsayılan olarak herhangi bir veriyi diske kaydetmez; tüm değer teklifi, bellek içi depolamayı çevreler. BT olabilmek Verileri dosyalara kaydedecek şekilde yapılandırılabilir, ancak bu dosyaların uzantısı (.rdb) fidye yazılımının aradığı uzantılar arasında değildir. “Bunu akılda tutarak,” diye yazdı Cado, “fidye yazılımının gerçekte ne için fidye amaçlı tasarlandığı belli değil.”
Ne yapalım
Carchrie’nin bakış açısından P2PInfect enfeksiyonlarının en çok Doğu Asya’da yoğunlaştığı görülüyor.
Redis dünya çapındaki işletmelerde yaygın olarak kullanılıyor. Açık kaynak versiyonu var dört milyardan fazla Docker çekiyorve aralarında British Airways ve MGM Resorts’un da bulunduğu yaklaşık 10.000 kuruluş Enterprise ürününü kullanıyor.
Bu nedenle kuruluşların sunucularının dış tehditlere karşı uygun şekilde korunduğundan (yalnızca güvenilir kullanıcılara açık olduğundan, güvenlik duvarlarının arkasında olduğundan, uygun şekilde yapılandırıldığından vs.) emin olmaları gerektiği konusunda uyarıyor.
Tamamen hareketsiz olan kötü amaçlı yazılımları tespit etmek o kadar kolay olmasa da, P2PInfect artık güncellendiğine göre, arkasında kolayca tespit edilebilecek çok sayıda eser bırakmalıdır. “Kripto madenciliği mümkün olduğu kadar çok CPU tüketecek ve fidye yazılımı disklerdeki dosyaların peşine düşecek, dolayısıyla disk kullanımı da artmaya başlayacak. Bunların belirtilerini arayacaksınız” diyor.