11-29-2025, 04:17 PM
(This post was last modified: 12-07-2025, 04:41 PM by mrwebfeeder.)
Nombre: P2PInfect
Categoría: Botnet / Gusano P2P para servidores Redis
Fecha de descubrimiento: 2023
Comportamiento (lo que hace y qué infecta):
- Peer-to-peer botnet infecting Redis servers:
- Apunta principalmente a servidores Redis expuestos a Internet (sin autenticación o mal configurados).
- Explota funciones de Redis (por ejemplo escritura en disco) para dejar caer binarios maliciosos en el servidor.
- El malware convierte al servidor en un nodo más de una botnet P2P, es decir:
- No depende de un único servidor C2 central.
- Cada nodo puede comunicarse con otros nodos para recibir actualizaciones e instrucciones.
- Funciones típicas tras comprometer el servidor:
- Descarga y ejecuta binarios adicionales (ELF) para la propia botnet.
- Puede usar el servidor comprometido para:
- Escanear otros Redis expuestos.
- Propagar la infección a nuevos objetivos.
- Participar en tareas distribuidas (escaneo, ataques, etc.).
- Plataformas afectadas:
- Principalmente Linux donde se ejecutan instancias de Redis en puertos accesibles desde Internet (generalmente 6379/TCP) sin las medidas de seguridad adecuadas.
Persistencia (comportamiento típico):
- Puede escribir ficheros maliciosos en disco usando comandos de Redis (por ejemplo, modificando rutas de dump o módulos).
- En algunos despliegues se han observado:
- Scripts o binarios añadidos a mecanismos de arranque (cron, systemd, rc.local, etc.) para relanzar el malware tras reinicios.
- Archivos ubicados en rutas temporales o de sistema con nombres genéricos para pasar desapercibidos.
Hash real de referencia (SHA-256):
Muestra pública asociada a P2PInfect:
Code:
0f6e0da2dcfabba283b34149c1f1a38c05f7ce269adb8e318ac7e4d52d513c62Mitigación con GetOverX Shield v3.0.2.0 o superior:
- Firewall: block Redis exposure:
- Asegurar, desde el firewall de red y/o el firewall del host, que:
- El puerto de Redis (por defecto 6379/TCP) no esté expuesto a Internet.
- Redis sólo sea accesible:
- Desde la propia máquina (127.0.0.1) o
- Desde segmentos internos específicos (por ejemplo, capa de aplicación).
- Crear reglas que:
- Bloqueen conexiones entrantes al puerto de Redis desde direcciones externas no autorizadas.
- Alerten sobre escaneos masivos contra 6379/TCP.
- EDR: detect process spawning from Redis:
- Configurar el EDR para:
- Detectar cuando el proceso de Redis (por ejemplo) lanza:Code:redis-server
- Shells (,Code:/bin/sh).Code:/bin/bash
- Otros binarios no habituales (especialmente en,Code:/tmpo rutas no estándar).Code:/var/tmp
- Marcar como sospechoso cualquier patrón:
- Redis → shell → descarga y ejecución de ejecutables remotos.
- Respuesta recomendada:
- Detener el proceso hijo sospechoso.
- Registrar y revisar la configuración actual de Redis (incluyendo rutas de dump y módulos cargados).
- Si se confirma compromiso, aislar temporalmente el servidor de la red para análisis.
- Sandbox suspicious server binaries:
- Cualquier binario recién creado cerca de Redis (por ejemplo en,Code:/tmpo directorios asociados al servicio) debe:Code:/var/tmp
- Analizarse en la Sandbox de GetOverX Shield antes de ejecutarse manualmente.
- Verificarse si:
- Establece conexiones P2P.
- Escanea puertos de otros hosts.
- Se comporta como botnet (tráfico periódico, comandos remotos, etc.).
- Poner en cuarentena:
- Binarios ELF que muestren comportamiento de botnet o coincidan con firmas de P2PInfect.
Buenas prácticas adicionales:
- Configurar Redis con:
- Autenticación (contraseñas robustas).
- bind a interfaces internas únicamente.
- Mantener Redis y el sistema operativo actualizados con parches recientes.
- Revisar periódicamente:
- Tareas programadas, servicios y scripts de arranque en servidores con Redis.
- La integridad de binarios y configuraciones en sistemas expuestos.