በመረጃ ማዕከሎች እና በደመና ስርዓቶች ጥበቃ ላይ የተካነ የ Guardicore ኩባንያ ፣ ፍሪትዝ ፍሮግ፣ ሊኑክስ ላይ የተመሰረቱ አገልጋዮችን የሚያጠቃ አዲስ ከፍተኛ የቴክኖሎጂ ማልዌር። ፍሪትዝ ፍሮግ ከተከፈተ የኤስኤስኤች ወደብ ጋር በአገልጋዮች ላይ በbruteforce ጥቃት የሚሰራጨውን ትል እና አካላትን ከቁጥጥር ኖዶች ውጭ የሚሰራ እና አንድም የውድቀት ነጥብ የሌለው ያልተማከለ ቦትኔትን ይገነባል።
ቦትኔትን ለመገንባት የባለቤትነት P2P ፕሮቶኮል ጥቅም ላይ ይውላል, በዚህ ውስጥ አንጓዎች እርስ በእርሳቸው መስተጋብር ይፈጥራሉ, የጥቃቶችን አደረጃጀት ያስተባብራሉ, የኔትወርክን አሠራር ይደግፋሉ እና የእያንዳንዳቸውን ሁኔታ ይቆጣጠራሉ. በSSH በኩል ጥያቄዎችን በሚቀበሉ አገልጋዮች ላይ የጭካኔ ጥቃት በማድረስ አዲስ ተጎጂዎች ተገኝተዋል። አዲስ አገልጋይ ሲገኝ የመግቢያ እና የይለፍ ቃል ውህዶች መዝገበ ቃላት ይፈለጋል። መቆጣጠሪያ በማንኛውም መስቀለኛ መንገድ ሊከናወን ይችላል, ይህም የ botnet ኦፕሬተሮችን ለመለየት እና ለማገድ አስቸጋሪ ያደርገዋል.
እንደ ተመራማሪዎች ገለጻ፣ ቦትኔት የበርካታ ዩኒቨርሲቲዎች አገልጋዮችን እና አንድ ትልቅ የባቡር ኩባንያን ጨምሮ 500 ያህል አንጓዎች አሉት። የጥቃቱ ዋና ኢላማዎች የትምህርት ተቋማት ፣የህክምና ማዕከላት ፣የመንግስት ኤጀንሲዎች ፣ባንኮች እና የቴሌኮሙኒኬሽን ኩባንያዎች ኔትወርኮች መሆናቸው ተጠቅሷል። አገልጋዩ ከተበላሸ በኋላ የ Monero cryptocurrency የማውጣት ሂደት በላዩ ላይ ተደራጅቷል። በጥያቄ ውስጥ ያለው የማልዌር እንቅስቃሴ ከጥር 2020 ጀምሮ ተከታትሏል።
የ FritzFrog ልዩ ነገር ሁሉንም ውሂብ እና ሊተገበር የሚችል ኮድ በማህደረ ትውስታ ውስጥ ብቻ ማቆየት ነው። በዲስክ ላይ የሚደረጉ ለውጦች አዲስ የኤስኤስኤች ቁልፍ በተፈቀደው_keys ፋይል ላይ ማከል ብቻ ነው፣ እሱም በመቀጠል አገልጋዩን ለማግኘት ይጠቅማል። የስርዓት ፋይሎች አልተቀየሩም, ይህም ትል ቼኮችን በመጠቀም ታማኝነትን ለሚፈትሹ ስርዓቶች እንዳይታይ ያደርገዋል. ማህደረ ትውስታው የP2P ፕሮቶኮልን በመጠቀም በአንጓዎች መካከል የሚመሳሰሉትን brute-አስገዳጅ የይለፍ ቃሎችን እና ለማእድን ማውጣት መዝገበ-ቃላትን ያከማቻል።
ተንኮል አዘል አካላት እንደ ifconfig፣ libexec፣ php-fpm እና nginx ሂደቶች ተቀርፀዋል። የቦትኔት ኖዶች የጎረቤቶቻቸውን ሁኔታ ይቆጣጠራሉ እና አገልጋዩ እንደገና ከተጀመረ ወይም ስርዓተ ክወናው እንኳን ከተጫነ (የተሻሻለ የተፈቀደላቸው_keys ፋይል ወደ አዲሱ ስርዓት ከተላለፈ) በአስተናጋጁ ላይ ተንኮል-አዘል ክፍሎችን እንደገና እንዲነቃቁ ያደርጋሉ። ለግንኙነት፣ መደበኛ ኤስኤስኤች ጥቅም ላይ ይውላል - ማልዌር በተጨማሪ የአካባቢ አስተናጋጅ በይነገጽን የሚያገናኝ እና በፖርት 1234 ላይ ያለውን ትራፊክ የሚያዳምጥ አካባቢያዊ “netcat”ን ያስጀምራል ፣ይህም ወደብ XNUMX ላይ ያለውን ትራፊክ ያዳምጣል ፣ይህም ከውጭ የሚያስተናግደው በኤስኤስኤች ዋሻ ውስጥ ነው ፣ለመገናኘት ከተፈቀደ_keys ቁልፍ በመጠቀም።
የፍሪትዝፍሮግ መለዋወጫ ኮድ በ Go ውስጥ የተፃፈ እና በባለብዙ ክር ሁነታ ይሰራል። ማልዌር በተለያዩ ክሮች ውስጥ የሚሰሩ በርካታ ሞጁሎችን ያካትታል፡-
- ክራከር - በተጠቁ አገልጋዮች ላይ የይለፍ ቃላትን ይፈልጋል።
- CryptoComm + Parser - የተመሰጠረ P2P ግንኙነት ያደራጃል።
- CastVotes የጥቃት ኢላማ አስተናጋጆችን በጋራ የምንመርጥበት ዘዴ ነው።
- TargetFeed - ከአጎራባች አንጓዎች ለማጥቃት የአንጓዎች ዝርዝር ይቀበላል።
- DeployMgmt ተንኮል አዘል ኮድን ለተጎዳ አገልጋይ የሚያሰራጭ ትል ትግበራ ነው።
- በባለቤትነት የተያዘ - ቀድሞውኑ ተንኮል-አዘል ኮድ ከሚያሄዱ አገልጋዮች ጋር የመገናኘት ኃላፊነት አለበት።
- ተሰብስበው - በተናጥል ከሚተላለፉ ብሎኮች ውስጥ አንድ ፋይል በማህደረ ትውስታ ውስጥ ይሰበስባል።
- Antivir - ተፎካካሪ ማልዌርን ለመግታት ሞጁል ፣የሲፒዩ ሀብቶችን በሚበላው “xmr” ሕብረቁምፊ ሂደቶችን ይለያል እና ያጠፋል።
- ሊቤክስ የ Monero cryptocurrency ን ለማውጣት ሞጁል ነው።
በ FritzFrog ውስጥ ጥቅም ላይ የዋለው የP2P ፕሮቶኮል በአንጓዎች መካከል ውሂብን ለማስተላለፍ፣ ስክሪፕቶችን ለማስኬድ፣ የማልዌር ክፍሎችን ለማስተላለፍ፣ የምርጫ ሁኔታን፣ ምዝግብ ማስታወሻዎችን የመለዋወጥ፣ ፕሮክሲዎችን ለማስጀመር፣ ወዘተ ኃላፊነት ያላቸው 30 ያህል ትዕዛዞችን ይደግፋል። መረጃ በተለየ የተመሰጠረ ቻናል በJSON ቅርፀት ተከታታይነት ባለው መልኩ ይተላለፋል። ምስጠራ ያልተመጣጠነ AES cipher እና Base64 ኢንኮዲንግ ይጠቀማል። የዲኤች ፕሮቶኮል ለቁልፍ ልውውጥ ጥቅም ላይ ይውላል (). ግዛቱን ለመወሰን አንጓዎች ያለማቋረጥ የፒንግ ጥያቄዎችን ይለዋወጣሉ።
ሁሉም የቦትኔት ኖዶች ስለጥቃት እና ስለተጠቁ ስርዓቶች መረጃ ያለው የተከፋፈለ የውሂብ ጎታ ይይዛሉ። የጥቃት ኢላማዎች በመላው botnet ውስጥ ይመሳሰላሉ - እያንዳንዱ መስቀለኛ መንገድ የተለየ ኢላማን ያጠቃል ፣ ማለትም። ሁለት የተለያዩ የ botnet nodes ተመሳሳይ አስተናጋጅ አያጠቁም። አንጓዎች እንዲሁም እንደ ነፃ የማህደረ ትውስታ መጠን፣ የስራ ሰዓት፣ የሲፒዩ ጭነት እና የኤስኤስኤች የመግባት እንቅስቃሴ ያሉ የአካባቢ ስታቲስቲክስን ይሰበስባሉ እና ለጎረቤቶች ያስተላልፋሉ። ይህ መረጃ የማዕድን ሂደቱን ለመጀመር ወይም መስቀለኛ መንገድን ሌሎች ስርዓቶችን ለማጥቃት (ለምሳሌ, ማዕድን ማውጣት በተጫኑ ስርዓቶች ወይም በተደጋጋሚ የአስተዳዳሪ ግንኙነቶች ባሉ ስርዓቶች ላይ አይጀምርም) ለመወሰን ጥቅም ላይ ይውላል.
ፍሪትዝ ፍሮግን ለመለየት ተመራማሪዎች ቀለል ያለ ሀሳብ አቅርበዋል . የስርዓት ጉዳትን ለመወሰን
በፖርት 1234 ላይ የመስማት ግንኙነት መኖሩን የመሳሰሉ ምልክቶች, መገኘት በተፈቀደላቸው_keys (ተመሳሳዩ የኤስኤስኤች ቁልፍ በሁሉም አንጓዎች ላይ ተጭኗል) እና የሚከናወኑ ፋይሎችን ("/proc/) የሌላቸውን "ifconfig", "libexec", "php-fpm" እና "nginx" የማስኬጃ ሂደቶች ትውስታ ውስጥ መገኘት. / exe" ወደ የርቀት ፋይል ይጠቁማል)። ምልክቱም በኔትዎርክ ወደብ 5555 ላይ የትራፊክ መኖር ሊሆን ይችላል፣ይህም የሚከሰተው ማልዌር በ Monero cryptocurrency የማዕድን ማውጫ ወቅት የተለመደው ገንዳ web.xmrpool.eu ሲደርስ ነው።
ምንጭ: opennet.ru