P2Pinfect – Redis szervereken
A Cado Security Labs kutatói a közelmúltban egy új rosszindulatú programkampánnyal találkoztak, amely a Redis adattár nyilvánosan elérhető szervereit fertőzi meg. A fejlesztők által P2Pinfect-nek nevezett kártevő Rust nyelven íródott, és botnet-ként működik.
A Cado Security Labs kutatói kifejtették, hogy a leginkább az a tény tűnt fel, hogy a rosszindulatú program egy féregnek tűnik, képes önmagában szaporodni, és átterjedni más sebezhető Redis-telepítésekre. A jelentés nem nevezi meg a kártevő konkrét áldozatait, és a Cado Security szerint nem világos, mi a botnet célja.
A P2Pinfect jól megtervezett, és kifinomult replikációs és C2 technikákat alkalmaz. A Rust használata lehetővé teszi a kód könnyebb hordozhatóságát a platformok között (a Windows és Linux binárisok sok azonos kódon osztoznak), ugyanakkor jelentősen megnehezíti a kód statikus elemzését. Ennek oka maga a Rust bonyolultsága, a C-kód beépítése a Foreign Function Interface szolgáltatás miatt, valamint az elemzéshez rendelkezésre álló eszközök hiánya.
A Cado kutatói által talált minta hasonló funkcionalitású volt, mint a Unit42 által elemzett Windows-változat. Ennek ellenére a kezdeti hozzáférési mód eltérő volt, és a Cado kutatói nem találtak bizonyítékot arra, hogy a rosszindulatú program kifejezetten felhőkörnyezetet célzott volna. Az elemzés során gyűjtött információk alapján a P2Pinfect valószínűleg futni fog a legtöbb Linux-eszközön.
A Cado kutatói megosztották az azonosításhoz szükséges mutatókat is.