关于“P2PInfect僵尸网络以带有新勒索软件模块的REdis服务器为目标”事件的分析研判

　　P2PInfect是一个活跃起来的恶意软件僵尸网络，利用Redis服务器传播勒索软件和加密矿工。该网络针对有Redis漏洞的服务器展开攻击，并采用各种功能扩展其恶意活动。除了勒索软件模块和加密行为外，还包括新的用户模式rootkit，用于隐藏恶意进程。P2PInfect的活跃表示对Redis服务器和相关设备构成真正的威胁，可能导致数据损坏和计算资源劫持。在面对此类威胁时，强化安全措施、更新防护软件，以及保持警惕至关重要。

　　一、基本内容

　　P2PInfect是一个最初动机不明的休眠对等恶意软件僵尸网络，最近已经活跃起来，并且在Redis服务器上部署了勒索软件模块和加密矿工。这一恶意软件僵尸网络利用已知漏洞的Redis服务器作为目标，并通过Redis的复制功能传播。

　　从2023年开始观察到P2PInfect的活动趋于增加，其中包括每周数千次的入侵尝试，以及引入了新的功能如基于cron的持久性机制、回退通信系统和SSH锁定。此外，从2024年5月开始，P2PInfect感染的设备收到了一个命令，引入了一个新的勒索软件模块。受感染的设备被要求下载并运行勒索软件负载，该软件会加密数据库、文档和媒体文件，然后生成特定含有“加密”扩展名的文件。

　　此外，P2PInfect还包括了一个激活的Monero矿工和一个新的用户模式rootkit，用来隐藏恶意进程和文件。尽管rootkit在理论上可以隐藏文件操作和数据访问事件，但在Redis内存部署时存在限制。

　　最终的结论是，P2PInfect不再是一个实验，而是对Redis服务器和相关设备构成了真正的威胁，可能导致数据破坏和计算资源劫持。Cado Security的研究显示，P2PInfect可能是一个“雇佣僵尸网络”，但仍存在一些相互矛盾的信息，使得研究人员无法确定其真实运营方式。

　　因此，对于运营Redis服务器的组织和用户，特别要警惕P2PInfect和相关勒索软件的威胁。加强安全措施、定期更新防护软件，并保持警惕，是降低受到此类恶意软件攻击风险的关键措施。

　　二、分析研判

　　本次安全事件涉及P2PInfect恶意软件僵尸网络对Redis服务器的威胁。该恶意软件网络最初休眠，如今活跃，并引入了勒索软件模块和加密矿工。其演变趋势加剧，呈现较大潜在危害。建议加强Redis服务器的安全措施，包括定时更新防护软件和加强网络监控。

　　三、应对策略

　　为应对P2PInfect僵尸网络及其新勒索软件模块，应采取以下策略：及时更新Redis服务器及其组件的安全补丁，强化访问控制，隔离网络，实时监控异常活动，定期审查日志，制定和演练应急预案，确保数据备份和恢复的完整性，进行安全培训，提高全员安全意识，并部署防火墙、入侵检测系统及杀毒软件等防御工具。