Siber güvenlik araştırmacıları, öncelikli olarak Redis sunucularını hedef alan P2Pinfect kötü amaçlı yazılımıyla ilişkili yeni bir fidye yazılımı yükü tespit etti.
Daha önce eşler arası (P2P) botnet yetenekleriyle bilinen bu gelişmiş kötü amaçlı yazılım, artık fidye yazılımı ve kripto madenciliği işlevlerini içerecek şekilde gelişti.
Bu makale P2Pinfect’in inceliklerini, yayılma yöntemlerini ve yeni yüklerinin sonuçlarını ele alıyor.
Redis Kullanımı ve İlk Erişim
P2Pinfect, veritabanı, önbellek ve mesaj aracısı olarak kullanılan popüler bir bellek içi veri yapısı deposu olan Redis’teki çoğaltma özelliklerinden yararlanır.
Cado Güvenlik raporlarına göre Redis, saldırganların takipçi düğümlerde kod yürütme elde etmek için kullandığı lider/takipçi topolojisine sahip dağıtılmış bir kümede çalışıyor.
Kötü amaçlı yazılım, Redis düğümlerini saldırganın kontrolündeki sunucunun takipçilerine dönüştürmek için SLAVEOF komutunu kullanıyor ve böylece saldırganın keyfi komutlar yürütmesine olanak sağlıyor.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Ana Yük ve Yayılma Mekanizması
P2Pinfect bir Redis sunucusuna erişim kazandığında, paylaşılan bir nesne (.so) dosyasını bırakır ve sunucuya onu yüklemesi talimatını verir.
Bu, saldırganın virüslü sunucuya komut göndermesine olanak tanır.
Kötü amaçlı yazılım aynı zamanda temel bir SSH şifre püskürtücüsü kullanılarak da yayılıyor, ancak bu yöntem Redis’in kullanılmasından daha az etkili.
P2Pinfect’in botnet’i dikkate değer bir özelliktir. Virüs bulaşan her makinenin bir düğüm görevi gördüğü devasa bir ağ oluşturur.
Bu ağ, kötü amaçlı yazılım yazarının güncellemeleri botnet üzerinden verimli bir şekilde iletmesine olanak tanır.
Yeni Fidye Yazılımı Yükü
P2Pinfect’in en son güncellemesi, rsagen adlı bir fidye yazılımı yükünü kullanıma sunuyor.
Botnet’e katıldıktan sonra, virüs bulaşmış makineler, dosyaları şifreleyen ve .encrypted uzantısını ekleyen rsagen’i indirip yürütmek için bir komut alır.
Fidye yazılımı birçok dosya uzantısını hedef alıyor ve bu da onu son derece rahatsız edici hale getiriyor.
“Verileriniz kilitlendi!.txt” başlıklı fidye notu, kurbanlara şifre çözme jetonu almak için saldırganlarla e-posta yoluyla iletişime geçmeleri talimatını veriyor.
Fidye yazılımı, dosyaları şifrelemek için genel bir anahtar kullanır ve saldırganların ödeme sonrasında şifresini çözebileceği ilgili özel anahtarı saklar.
P2Pinfect artık paylaşılan bir nesne dosyasını (libs.so.1) önceden yüklemek için kullanıcı ana dizinlerindeki .bashrc dosyalarını değiştiren bir kullanıcı modu rootkit’i içeriyor.
Bu rootkit, kötü amaçlı yazılımın varlığını gizlemek için meşru sistem çağrılarını ele geçirir.
Ancak, kullanıcının genellikle sınırlı izinleri olduğundan, ilk erişim Redis üzerinden yapılıyorsa etkinliği sınırlıdır.
Kripto Madenci Yükü
P2Pinfect, fidye yazılımına ek olarak Monero’yu (XMR) hedefleyen bir kripto madencisini de kullanıyor.
Madenci bir gecikmeden sonra etkinleştirilir ve önceden yapılandırılmış bir cüzdan ve havuz kullanır.
Botnet’in boyutuna rağmen madencilik faaliyeti minimum düzeyde görünüyor ve bu da kazançları gizlemek için birden fazla cüzdan adresinin kullanıldığını gösteriyor.
Madenci ve fidye yazılımı için ayrı cüzdan adresleri göz önüne alındığında, P2Pinfect’in kiralık bir botnet olabileceği yönünde spekülasyonlar var.
Bu teori, kötü amaçlı yazılımın komut üzerine isteğe bağlı yükleri dağıtma yeteneği ile destekleniyor ve bu da diğer saldırganların bir ücret karşılığında potansiyel olarak kullanılabileceğine işaret ediyor.
P2Pinfect gelişmeye devam ediyor ve bu da kötü amaçlı yazılım yazarının yasa dışı erişimden kâr elde etmek için devam eden çabalarını gösteriyor.
Fidye yazılımlarının ve kripto madenciliği yüklerinin kullanıma sunulması, bu kötü amaçlı yazılımın artan karmaşıklığının altını çiziyor.
Redis’in doğası gereği fidye yazılımının etkisi sınırlı olsa da P2Pinfect’in oluşturduğu genel tehdit hâlâ önemini koruyor.
Siber güvenlik profesyonelleri, bu tür gelişmiş tehditlere karşı korunmak için uyanık kalmalı ve sağlam güvenlik önlemleri uygulamalıdır.
P2Pinfect’in sürekli evrimi, siber tehditlerin sürekli değişen ortamının çarpıcı bir hatırlatıcısı olarak hizmet ediyor.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free