Yeni Fidye Yazılımı Yüküne Sahip P2Pinfect Redis Sunucusu


Siber güvenlik araştırmacıları, öncelikle Redis sunucularını hedef alan, P2Pinfect kötü amaçlı yazılımıyla ilişkili yeni bir fidye yazılımı yükünü tespit etti.

Daha önce eşler arası (P2P) botnet yetenekleriyle bilinen bu gelişmiş kötü amaçlı yazılım, artık fidye yazılımı ve kripto madenciliği işlevlerini içerecek şekilde gelişti.

Bu makale P2Pinfect’in inceliklerini, yayılma yöntemlerini ve yeni yüklerinin sonuçlarını ele alıyor.

Redis Kullanımı ve İlk Erişim

P2Pinfect, veritabanı, önbellek ve mesaj aracısı olarak kullanılan popüler bir bellek içi veri yapısı deposu olan Redis’teki çoğaltma özelliklerinden yararlanır.

Cado Güvenlik raporlarına göre Redis, saldırganların takipçi düğümlerde kod yürütme elde etmek için kullandığı lider/takipçi topolojisine sahip dağıtılmış bir kümede çalışıyor.

Kötü amaçlı yazılım, Redis düğümlerini saldırgan tarafından kontrol edilen bir sunucunun takipçilerine dönüştürmek için SLAVEOF komutunu kullanarak saldırganın keyfi komutlar yürütmesine olanak tanır.

Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan

Ana Yük ve Yayılma Mekanizması

P2Pinfect bir Redis sunucusuna erişim sağladığında, paylaşılan nesne (.so) dosyasını bırakır ve sunucuya bunu yüklemesini söyler.

Bu, saldırganın virüslü sunucuya komut göndermesine olanak tanır.

Kötü amaçlı yazılım aynı zamanda temel bir SSH şifre püskürtücüsü kullanılarak da yayılıyor, ancak bu yöntem Redis’in kullanılmasından daha az etkili.

P2Pinfect’in botnet’i dikkate değer bir özelliktir. Virüs bulaşan her makinenin bir düğüm görevi gördüğü devasa bir ağ oluşturur.

Bu ağ, kötü amaçlı yazılım yazarının güncellemeleri botnet üzerinden verimli bir şekilde iletmesine olanak tanır.

Yeni Fidye Yazılımı Yükü

P2Pinfect’in en son güncellemesi, rsagen adlı bir fidye yazılımı yükünü kullanıma sunuyor.

Botnet’e katıldıktan sonra, virüs bulaşmış makineler, dosyaları şifreleyen ve .encrypted uzantısını ekleyen rsagen’i indirip yürütmek için bir komut alır.

Fidye yazılımı birçok dosya uzantısını hedef alıyor ve bu da onu son derece rahatsız edici hale getiriyor.

“Verileriniz kilitlendi!.txt” başlıklı fidye notu, kurbanlara şifre çözme jetonu almak için saldırganlarla e-posta yoluyla iletişime geçmeleri talimatını veriyor.

Fidye yazılımı, dosyaları genel bir anahtar kullanarak şifreler ve saldırganların ödeme sonrasında şifresini çözebileceği ilgili özel anahtarı saklar.

P2Pinfect artık kullanıcı ana dizinlerindeki .bashrc dosyalarını, paylaşılan nesne dosyasını (libs.so.1) önceden yüklemek için değiştiren bir kullanıcı modu kök seti içeriyor.

Bu rootkit, kötü amaçlı yazılımın varlığını gizlemek için meşru sistem çağrılarını ele geçirir.

Ancak, kullanıcının genellikle sınırlı izinleri olduğundan, ilk erişim Redis üzerinden yapılıyorsa etkinliği sınırlıdır.

Ele geçirilen readdir işlevi için derlenmemiş sözde kod
Ele geçirilen readdir işlevi için derlenmemiş sözde kod

Kripto Madenci Yükü

P2Pinfect, fidye yazılımına ek olarak Monero’yu (XMR) hedefleyen bir kripto madencisini de kullanıyor.

Madenci bir gecikmeden sonra etkinleştirilir ve önceden yapılandırılmış bir cüzdan ve havuz kullanır.

Botnet’in boyutuna rağmen madencilik faaliyeti minimum düzeyde görünüyor ve bu da birden fazla cüzdan adresinin kazançları gizlemek için kullanıldığına işaret ediyor.

Madenci ve fidye yazılımı için ayrı cüzdan adresleri göz önüne alındığında, P2Pinfect’in kiralık bir botnet olabileceği yönünde spekülasyonlar var.

Bu teori, kötü amaçlı yazılımın komut üzerine isteğe bağlı yükleri dağıtma yeteneği ile destekleniyor ve bu da diğer saldırganların bir ücret karşılığında potansiyel olarak kullanılabileceğine işaret ediyor.

P2Pinfect gelişmeye devam ediyor ve bu da kötü amaçlı yazılım yazarının yasa dışı erişimden kâr elde etmek için devam eden çabalarını gösteriyor.

Fidye yazılımlarının ve kripto madenciliği yüklerinin kullanıma sunulması, bu kötü amaçlı yazılımın artan karmaşıklığının altını çiziyor.

Redis’in doğası gereği fidye yazılımının etkisi sınırlı olsa da P2Pinfect’in oluşturduğu genel tehdit hâlâ önemini koruyor.

Siber güvenlik profesyonelleri, bu tür gelişmiş tehditlere karşı korunmak için uyanık kalmalı ve sağlam güvenlik önlemleri uygulamalıdır.

P2Pinfect’in sürekli evrimi, siber tehditlerin sürekli değişen ortamının çarpıcı bir hatırlatıcısı olarak hizmet ediyor.

Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free



Source link