今年8月下旬，P2PInfect 僵尸網(wǎng)絡(luò)蠕蟲病毒活動(dòng)量數(shù)據(jù)開(kāi)始上升，到今年9月仍在持續(xù)上升。

P2PInfect最早發(fā)現(xiàn)于2023年7月，它是一種點(diǎn)對(duì)點(diǎn)的惡意軟件，利用遠(yuǎn)程代碼執(zhí)行漏洞入侵互聯(lián)網(wǎng)上的 Windows 和 Linux 系統(tǒng)中的 Redis 實(shí)例。

Cado Security 的研究人員自2023年7月下旬以來(lái)一直在跟蹤該僵尸軟件。他們報(bào)道稱，如今看到的僵尸網(wǎng)絡(luò)活動(dòng)遍及全球，影響了包括美國(guó)、德國(guó)、新加坡、中國(guó)香港、英國(guó)和日本等多個(gè)國(guó)家和地區(qū)的系統(tǒng)。

此外，Cado 還表示，最新的 P2PInfect 樣本又新增了不少功能并改進(jìn)了之前的問(wèn)題功能，這使得其傳播力更強(qiáng)。

活動(dòng)急劇增加

近日，Cado發(fā)現(xiàn)了P2PInfect僵尸軟件的新活動(dòng)，這表明該惡意軟件已進(jìn)入代碼穩(wěn)定的新時(shí)期。

據(jù)研究人員報(bào)告稱，他們觀察到P2PInfect對(duì)其蜜罐進(jìn)行的初始訪問(wèn)嘗試次數(shù)穩(wěn)步上升，截至今年8月24日，僅單個(gè)傳感器的事件數(shù)已經(jīng)達(dá)到4064 次。

到今年9月3日，初始訪問(wèn)事件增加了兩倍，但仍然相對(duì)較少。

然而，在今年9月12日至19日的一周內(nèi)，P2PInfect 活動(dòng)激增，僅在此期間，Cado就記錄了3619次訪問(wèn)嘗試，增長(zhǎng)了600倍。

Cado 解釋說(shuō)：P2Pinfect 流量的增加與野生變種數(shù)量的增加相吻合，這表明惡意軟件開(kāi)發(fā)者的開(kāi)發(fā)速度極快。

記錄的嘗試訪問(wèn)事件（Cado Security）

P2PInfect 的新功能

在活動(dòng)增加的同時(shí)，Cado 還發(fā)現(xiàn)了一些新的樣本，這些樣本使 P2PInfect 成為一個(gè)更隱蔽、更可怕的威脅。

首先，惡意軟件的作者添加了一種基于 cron 的持續(xù)機(jī)制，取代了以前的 "bash_logout "方法，每 30 分鐘觸發(fā)一次主要有效載荷。

由 P2PInfect（Cado Security）編寫的 Cron 作業(yè)

此外，P2Pinfect 現(xiàn)在使用（二級(jí)）bash 有效載荷通過(guò)本地服務(wù)器套接字與主有效載荷通信，如果主進(jìn)程停止或被刪除，它會(huì)從對(duì)等程序中獲取副本并重新啟動(dòng)。

惡意軟件現(xiàn)在還使用 SSH 密鑰覆蓋被入侵端點(diǎn)上的任何 SSH authorized_keys，以防止合法用戶通過(guò) SSH 登錄。

覆蓋現(xiàn)有 SSH 密鑰（Cado Security）

如果惡意軟件擁有 root 訪問(wèn)權(quán)限，它就會(huì)使用自動(dòng)生成的 10 個(gè)字符的密碼對(duì)系統(tǒng)中的其他用戶執(zhí)行密碼更改，將其鎖定。

最后，P2PInfect 現(xiàn)在為其客戶端使用 C 結(jié)構(gòu)配置，該配置在內(nèi)存中動(dòng)態(tài)更新，而以前它沒(méi)有配置文件。

目標(biāo)不明確

Cado 報(bào)告稱最近觀察到的 P2PInfect 變體在試圖獲取有效載荷，但在被入侵設(shè)備上并未看到實(shí)際的加密活動(dòng)。因此，目前還不清楚惡意軟件的開(kāi)發(fā)者是否仍在嘗試攻擊的最后一步，P2PInfect僵尸軟件的操縱者可能正在增強(qiáng)其組件或?qū)ふ矣嗛?P2PInfect 的買家。

鑒于當(dāng)前該僵尸軟件的規(guī)模、傳播、自我更新功能以及本月激增的活動(dòng)量，可見(jiàn)P2PInfect 是一個(gè)值得關(guān)注的重大威脅。