Компания Guardicore, специализирующаяся на защите датацентров и облачных систем,
Для построения ботнента применяется собственный P2P-протокол, в котором узлы взаимодействуют между собой, координируют организацию атак, поддерживают работу сети и контролируют состояние друг друга. Новые жертвы находятся путём проведения bruteforce-атаки на серверы, принимающие запросы по SSH. При обнаружении нового сервера выполняется перебор по словарю типовых сочетаний из логинов и паролей. Управление может производиться через любой узел, что усложняет выявление и блокирование операторов ботнета.
По данным исследователей ботнет уже насчитывает около 500 узлов, в числе которых оказались серверы нескольких университетов и крупной железнодорожной компании. Отмечается, что основной целью атаки являются сети образовательных учреждений, медицинских центров, государственных учреждений, банков и телекоммуникационных компаний. После компрометации сервера на нём организуется процесс майнинга крипотвалюты Monero. Активность рассматриваемого вредоносного ПО прослеживается с января 2020 года.
Особенностью FritzFrog является то, что он держит все данные и исполняемый код только в памяти. Изменения на диске сводятся только к добавлению нового SSH-ключа в файл authorized_keys, который в дальнейшем используется для доступа к серверу. Системные файлы не изменяются, что делает червь незаметным для систем проверяющих целостность по контрольным суммам. В памяти в том числе держатся словари для перебора паролей и данные для майнинга, которые синхронизируются между узлами при помощи P2P-протокола.
Вредоносные компоненты камуфлируются под процессы «ifconfig», «libexec», «php-fpm» и «nginx». Узлы ботнета отслеживают состояние соседей и в случае перезагрузки сервера или даже переустановки ОС (если в новую систему был перенесён изменённый файл authorized_keys) повторно активируют вредоносные компоненты на хосте. Для коммуникации используется штатный SSH — вредоносное ПО дополнительно запускает локальный «netcat», привязывающийся к интерфейсу localhost и слушающий трафик на порту 1234, к которому внешние узлы обращаются через SSH-туннель, используя для подключения ключ из authorized_keys.
Код компонентов FritzFrog написан на языке Go и работает в многопоточном режиме. Вредоносное ПО включает несколько модулей, запускаемых в разных потоках:
- Cracker — выполняет подбор паролей на атакуемых серверах.
- CryptoComm + Parser — организует шифрованное P2P-соединение.
- CastVotes — механизм совместного выбора целевых хостов для атаки.
- TargetFeed — получает список узлов для атаки от соседних узлов.
- DeployMgmt — реализация червя, распространяющего вредоносный код на взломанный сервер.
- Owned — отвечает за соединение к серверам, на которых уже запущен вредоносный код.
- Assemble — собирает файл в памяти из отдельно передаваемых блоков.
- Antivir — модуль подавления конкурирующих вредоносных программ, определяет и завершает процессы со строкой «xmr», потребляющие ресурсы CPU.
- Libexec — модуль для майнинга криповалюты Monero.
Применяемый в FritzFrog P2P-протокол поддерживает около 30 команд, отвечающих за передачу данных между узлами, запуск скриптов, передачу компонентов вредоносного ПО, опрос состояния, обмен логами, запуск прокси и т.п. Информация передаётся по отдельному шифрованному каналу с сериализацией в формат JSON. Для шифрования применяется ассиметричный шифр AES и кодирование Base64. Для обмена ключами используется протокол DH (
Все узлы ботнета поддерживают распределённую БД с информацией об атакуемых и скомпрометированных системах. Цели для атаки синхронизируются по всему ботнету — каждый узел атакует отдельную цель, т.е. два разных узла ботнента не будут атаковать один и тот же хост. Узлы также собирают и передают соседям локальную статистику, такую как размер свободной памяти, uptime, нагрузка на CPU и активность входов по SSH. Данная информация используется для решения о запуске процесса майнинга или использования узла только для атаки других систем (например, майнинг не запускается на нагруженных системах или системах с частым подключением администратора).
Для выявления FritzFrog исследователями предложен простой
могут использоваться такие признаки как наличие слушающего соединения на порту 1234, присутствие
Источник: opennet.ru