新型对等网络僵尸网络 P2Pinfect 的显著增长

关键要点

P2Pinfect 僵尸网络最近增长了 600 倍，目标是 Redis 和 SSH 服务。境外风险警告：受影响国家包括中国、美国、德国、英国、新加坡等。建议通过加密、帐户保护和限制 IP 来提高安全性。

P2Pinfect 是一种新型对等网络P2P僵尸网络，专门攻击开源 Redis 和 SSH 服务，自 8 月 28 日以来，其活动量激增了惊人的 600 倍，并且在过去一周内流量增加了 123。

在一篇 9 月 20 日的博客文章中，Cado Security Labs 报道称，在中国、美国、德国、英国、新加坡、香港和日本等地都观察到了 P2Pinfect 的入侵现象。

研究人员早在 7 月就首次 发现 了 P2Pinfect 并针对公开访问的 Redis 开源数据库实例进行攻击。在今天的博客中，研究人员指出，目标 Redis 只是 P2Pinfect 功能的一半。这种恶意软件还可以通过 SSH 传播，且包含一系列用户名/密码组合，以便进行暴力破解。

在潜在风险方面，Cado Security 的威胁研究负责人 Matt Muir 解释说，攻击者可以利用如此规模的僵尸网络进行破坏性 DDoS 攻击，这种攻击方式曾在俄乌战争期间被 黑客行动者 频繁使用。Muir 还补充说明，攻击者还可以利用它进行大规模的加密货币挖掘，或支持其他恶意软件活动和社会工程操作，如网络钓鱼。

Muir 表示：“安全团队对 P2Pinfect 应该保持警惕，因为这是一个快速扩展因此也越来越强大的僵尸网络，针对的是面向互联网的基础设施。”他建议：“如果安全团队发现其正在运行被这款僵尸网络针对的 Redis 或 SSH 服务，应该重新审视其保护这些服务的方式。”

对于 Redis，Muir 表示，通常应避免将数据存储暴露于公共互联网。如果不可避免，建议启用身份验证，因为现在已经原生支持该功能。对于 SSH，Muir 建议优先使用基于密钥的身份验证，使用具有强大签名方案如 Ed25519生成的密钥对，并确保禁用 root 登录和密码身份验证。此外，建议实施 IP 白名单，仅允许组织内的已知 IP 访问这些服务，以防止未授权访问。

Muir 还表示：“自我们首次发现该僵尸网络以来，其规模显著增长。在发表博客之前，我们已经识别出 219 个被 P2Pinfect 占领的唯一 IP 地址。这个数字是相当保守的，因为它仅表示与我们的蜜罐基础设施或动态分析实例直接交互的节点真实数量可能更高。”

当 Cado 研究人员首次遇到该恶意软件时，他们每周仅观察到少量传播尝试。但在 9 月 12 日至 19 日这一周，这一数字增长到 3619 次，表明感染该恶意软件的节点数量增加。

小火箭怎么添加节点

Coalfire 的副总裁 Andrew Barratt 对这个新型僵尸网络表示了多层次的担忧。他指出，Redis 是一种内存数据存储，具有很高的灵活性，如果存在存储漏洞，可能会导致一些非常有趣的后续风险。

Barratt 还提到：“这也可能是一些非常高调的用户的试验场。一些世界上最大的科技公司对其使用该产品比较公开，以至于它们的名字都列在 Redis 的维基百科页面上如亚马逊、Adobe。所以，针对较小公司的恶意软件试验可能是对一些非常知名企业进行更复杂和有针对性的攻击的沙箱。”