Məlumat mərkəzləri və bulud sistemlərinin mühafizəsi üzrə ixtisaslaşmış Guardicore şirkəti, FritzFrog, Linux əsaslı serverlərə hücum edən yeni yüksək texnologiyalı zərərli proqram. FritzFrog, açıq SSH portu olan serverlərə bruteforce hücumu ilə yayılan bir qurdu və nəzarət qovşaqları olmadan işləyən və vahid uğursuzluq nöqtəsi olmayan mərkəzləşdirilməmiş botnet qurmaq üçün komponentləri birləşdirir.
Botnet qurmaq üçün qovşaqların bir-biri ilə qarşılıqlı əlaqədə olduğu, hücumların təşkilini koordinasiya etdiyi, şəbəkənin işini dəstəklədiyi və bir-birinin statusunu izlədiyi xüsusi bir P2P protokolundan istifadə olunur. SSH vasitəsilə sorğuları qəbul edən serverlərə bruteforce hücumu həyata keçirərək yeni qurbanlar tapılır. Yeni server aşkar edildikdə, login və parolların tipik birləşmələrinin lüğəti axtarılır. Nəzarət istənilən node vasitəsilə həyata keçirilə bilər ki, bu da botnet operatorlarının müəyyən edilməsini və bloklanmasını çətinləşdirir.
Tədqiqatçıların fikrincə, botnetdə artıq 500-ə yaxın qovşaq, o cümlədən bir neçə universitetin serverləri və böyük bir dəmir yolu şirkəti var. Qeyd olunur ki, hücumun əsas hədəfləri təhsil müəssisələri, tibb mərkəzləri, dövlət qurumları, banklar və telekommunikasiya şirkətlərinin şəbəkələridir. Serverə təhlükə yarandıqdan sonra onun üzərində Monero kriptovalyutasının çıxarılması prosesi təşkil edilir. Sözügedən zərərli proqramın fəaliyyəti 2020-ci ilin yanvar ayından etibarən izlənilir.
FritzFrog-un özəlliyi ondan ibarətdir ki, o, bütün məlumatları və icra olunan kodu yalnız yaddaşda saxlayır. Diskdəki dəyişikliklər yalnız sonradan serverə daxil olmaq üçün istifadə edilən avtorlaşdırılmış_açarlar faylına yeni SSH açarının əlavə edilməsindən ibarətdir. Sistem faylları dəyişdirilmir, bu da qurdu yoxlama məbləğlərindən istifadə edərək bütövlüyü yoxlayan sistemlər üçün görünməz edir. Yaddaş həmçinin P2P protokolundan istifadə edərək qovşaqlar arasında sinxronlaşdırılan kobud zorlama parolları və mədənçilik üçün verilənlər üçün lüğətləri saxlayır.
Zərərli komponentlər ifconfig, libexec, php-fpm və nginx prosesləri kimi kamuflyaj edilir. Botnet qovşaqları qonşularının statusuna nəzarət edir və əgər server yenidən işə salınarsa və ya hətta ƏS yenidən quraşdırılarsa (əgər dəyişdirilmiş avtorizasiya_açarları faylı yeni sistemə ötürülübsə), onlar hostda zərərli komponentləri yenidən aktivləşdirirlər. Rabitə üçün standart SSH istifadə olunur - zərərli proqram əlavə olaraq localhost interfeysinə qoşulan və xarici hostların qoşulmaq üçün avtorizasiya_açarlarından açardan istifadə edərək SSH tuneli vasitəsilə daxil olduğu 1234-cü portda trafikə qulaq asan yerli “netcat” işə salır.
FritzFrog komponent kodu Go proqramında yazılmışdır və çox yivli rejimdə işləyir. Zərərli proqrama müxtəlif mövzularda işləyən bir neçə modul daxildir:
- Cracker - hücuma məruz qalan serverlərdə parolları axtarır.
- CryptoComm + Parser - şifrələnmiş P2P əlaqəsini təşkil edir.
- CastVotes hücum üçün hədəf hostların birgə seçilməsi mexanizmidir.
- TargetFeed - Qonşu qovşaqlardan hücum etmək üçün qovşaqların siyahısını alır.
- DeployMgmt zərərli kodu təhlükəyə məruz qalmış serverə paylayan qurdun tətbiqidir.
- Sahibkar - artıq zərərli kod işlədən serverlərə qoşulmaq üçün məsuliyyət daşıyır.
- Assemble - ayrı-ayrı köçürülmüş bloklardan faylı yaddaşa yığır.
- Antivir - rəqib zərərli proqram təminatının qarşısını almaq üçün modul, CPU resurslarını istehlak edən “xmr” sətri ilə prosesləri müəyyən edir və dayandırır.
- Libexec Monero kriptovalyutasının çıxarılması üçün moduldur.
FritzFrog-da istifadə olunan P2P protokolu qovşaqlar arasında məlumatların ötürülməsi, skriptlərin işlədilməsi, zərərli proqram komponentlərinin ötürülməsi, sorğu statusu, jurnalların mübadiləsi, proksilərin işə salınması və s. üçün məsul olan təxminən 30 əmri dəstəkləyir. Məlumat JSON formatında serializasiya ilə ayrıca şifrələnmiş kanal vasitəsilə ötürülür. Şifrələmə asimmetrik AES şifrəsi və Base64 kodlaşdırmasından istifadə edir. DH protokolu açar mübadiləsi üçün istifadə olunur (). Vəziyyəti müəyyən etmək üçün qovşaqlar daim ping sorğuları mübadiləsi aparırlar.
Bütün botnet qovşaqları hücuma məruz qalan və təhlükəyə məruz qalmış sistemlər haqqında məlumat olan paylanmış verilənlər bazasını saxlayır. Hücum hədəfləri botnet boyunca sinxronlaşdırılır - hər bir node ayrı bir hədəfə hücum edir, yəni. iki fərqli botnet qovşağı eyni hosta hücum etməyəcək. Qovşaqlar həmçinin pulsuz yaddaş ölçüsü, iş vaxtı, CPU yükü və SSH giriş fəaliyyəti kimi yerli statistikaları toplayır və qonşulara ötürür. Bu məlumat mədən prosesinə başlamaq və ya qovşağın yalnız digər sistemlərə hücum etmək üçün istifadə edilməsi barədə qərar qəbul etmək üçün istifadə olunur (məsələn, yüklənmiş sistemlərdə və ya tez-tez administrator əlaqələri olan sistemlərdə mədənçilik başlamır).
FritzFrog-u müəyyən etmək üçün tədqiqatçılar sadə bir üsul təklif etdilər . Sistemin zədələnməsini müəyyən etmək üçün
1234-cü portda dinləmə bağlantısının olması, mövcudluğu kimi əlamətlər səlahiyyətli_açarlarda (eyni SSH açarı bütün qovşaqlarda quraşdırılıb) və əlaqəli icra edilə bilən faylları olmayan "ifconfig", "libexec", "php-fpm" və "nginx" işləyən proseslərin yaddaşında olması ("/proc/" /exe" uzaq fayla işarə edir). İşarə həm də 5555 nömrəli şəbəkə portunda trafikin olması ola bilər ki, bu da Monero kriptovalyutasının çıxarılması zamanı zərərli proqramların tipik web.xmrpool.eu hovuzuna daxil olduğu zaman baş verir.
Mənbə: opennet.ru