Ang kompanya sa Guardicore, nga espesyalista sa pagpanalipod sa mga sentro sa datos ug mga sistema sa panganod, FritzFrog, usa ka bag-ong high-tech nga malware nga nag-atake sa mga server nga nakabase sa Linux. Gihiusa ni FritzFrog ang usa ka ulod nga mikaylap pinaagi sa usa ka bruteforce nga pag-atake sa mga server nga adunay bukas nga pantalan sa SSH, ug mga sangkap aron makahimo usa ka desentralisado nga botnet nga naglihok nga wala’y kontrol nga mga node ug wala’y usa ka punto sa kapakyasan.
Sa pagtukod sa usa ka botnet, gigamit ang usa ka proprietary P2P protocol, diin ang mga node nakig-interact sa usag usa, nag-coordinate sa organisasyon sa mga pag-atake, nagsuporta sa operasyon sa network ug nagmonitor sa status sa usag usa. Ang mga bag-ong biktima nakit-an pinaagi sa paghimo sa usa ka bruteforce nga pag-atake sa mga server nga modawat sa mga hangyo pinaagi sa SSH. Kung makit-an ang usa ka bag-ong server, pangitaon ang usa ka diksyonaryo sa kasagaran nga kombinasyon sa mga login ug password. Ang pagkontrol mahimong ipatuman pinaagi sa bisan unsang node, nga nagpalisud sa pag-ila ug pag-block sa mga operator sa botnet.
Sumala sa mga tigdukiduki, ang botnet adunay mga 500 ka node, lakip ang mga server sa daghang mga unibersidad ug usa ka dako nga kompanya sa riles. Namatikdan nga ang mga nag-unang target sa pag-atake mao ang mga network sa mga institusyong pang-edukasyon, mga sentro sa medisina, mga ahensya sa gobyerno, mga bangko ug mga kompanya sa telekomunikasyon. Human makompromiso ang server, ang proseso sa pagmina sa Monero cryptocurrency giorganisar niini. Ang kalihokan sa malware nga gipangutana gisubay sukad sa Enero 2020.
Ang espesyal nga butang bahin sa FritzFrog mao nga kini nagtipig sa tanan nga datos ug executable code sa memorya lamang. Ang mga pagbag-o sa disk naglangkob lamang sa pagdugang og bag-ong SSH key sa authorized_keys file, nga sa ulahi gigamit sa pag-access sa server. Ang mga file sa sistema wala giusab, nga naghimo sa worm nga dili makita sa mga sistema nga nagsusi sa integridad gamit ang mga checksum. Ang panumduman usab nagtipig sa mga diksyonaryo alang sa brute-force nga mga password ug data alang sa pagmina, nga gi-synchronize tali sa mga node gamit ang P2P protocol.
Ang mga makadaot nga sangkap gi-camouflaged sama sa ifconfig, libexec, php-fpm ug nginx nga mga proseso. Ang mga botnet node nag-monitor sa kahimtang sa ilang mga silingan ug, kung ang server gi-reboot o bisan ang OS gi-install pag-usab (kung ang usa ka giusab nga authorized_keys nga file gibalhin sa bag-ong sistema), ilang gi-aktibo pag-usab ang malisyosong mga sangkap sa host. Alang sa komunikasyon, gigamit ang standard nga SSH - ang malware dugang nga naglansad sa usa ka lokal nga "netcat" nga nagbugkos sa interface sa localhost ug naminaw sa trapiko sa port 1234, nga gi-access sa mga eksternal nga host pinaagi sa usa ka tunel sa SSH, gamit ang usa ka yawe gikan sa awtorisado nga_keys aron makonektar.
Ang FritzFrog component code gisulat sa Go ug nagdagan sa multi-threaded mode. Ang malware naglakip sa daghang mga module nga nagdagan sa lainlaing mga hilo:
- Cracker - nangita alang sa mga password sa giatake nga mga server.
- CryptoComm + Parser - nag-organisar sa usa ka naka-encrypt nga koneksyon sa P2P.
- Ang CastVotes usa ka mekanismo alang sa hiniusang pagpili sa mga target nga host alang sa pag-atake.
- TargetFeed - Nakadawat ug lista sa mga node nga atakehon gikan sa silingang mga node.
- Ang DeployMgmt usa ka pagpatuman sa usa ka worm nga nag-apod-apod sa malisyosong code sa usa ka nakompromiso nga server.
- Panag-iya - responsable sa pagkonektar sa mga server nga nagpadagan na sa malisyoso nga code.
- Pagtapok - nag-assemble sa usa ka file sa memorya gikan sa gilain nga gibalhin nga mga bloke.
- Antivir - usa ka module alang sa pagsumpo sa nakigkompetensya nga malware, nagpaila ug nagtapos sa mga proseso gamit ang string nga "xmr" nga nagkonsumo sa mga kapanguhaan sa CPU.
- Ang Libexec usa ka module alang sa pagmina sa Monero cryptocurrency.
Ang P2P protocol nga gigamit sa FritzFrog nagsuporta sa mga 30 ka mga sugo nga responsable sa pagbalhin sa datos tali sa mga node, pagpadagan sa mga script, pagbalhin sa mga sangkap sa malware, status sa botohan, pagbayloay sa mga troso, paglansad sa mga proxy, ug uban pa. Ang impormasyon gipasa sa usa ka bulag nga naka-encrypt nga channel nga adunay serialization sa JSON format. Ang pag-encrypt naggamit sa asymmetric AES cipher ug Base64 encoding. Ang DH protocol gigamit alang sa key exchange (). Aron mahibal-an ang estado, ang mga node kanunay nga nagbinayloay sa mga hangyo sa ping.
Ang tanan nga mga node sa botnet nagmintinar sa usa ka gipang-apod-apod nga database nga adunay kasayuran bahin sa giatake ug nakompromiso nga mga sistema. Ang mga target sa pag-atake gi-synchronize sa tibuok botnet - ang matag node moatake sa usa ka bulag nga target, i.e. duha ka lainlain nga botnet node dili moatake sa parehas nga host. Ang mga node usab nagkolekta ug nagpadala sa mga lokal nga estadistika sa mga silingan, sama sa libre nga gidak-on sa memorya, oras sa pag-andar, pagkarga sa CPU, ug kalihokan sa pag-login sa SSH. Kini nga impormasyon gigamit sa pagdesisyon kung sugdan ba ang proseso sa pagmina o gamiton lang ang node sa pag-atake sa ubang mga sistema (pananglitan, ang pagmina wala magsugod sa loaded nga mga sistema o mga sistema nga adunay kanunay nga koneksyon sa administrator).
Aron mailhan si FritzFrog, ang mga tigdukiduki nagsugyot og usa ka yano . Aron mahibal-an ang kadaot sa sistema
mga timailhan sama sa presensya sa usa ka koneksyon sa pagpaminaw sa port 1234, ang presensya sa authorized_keys (ang sama nga SSH nga yawe gi-install sa tanan nga mga node) ug ang presensya sa panumduman sa mga proseso nga "ifconfig", "libexec", "php-fpm" ug "nginx" nga wala'y kaubang mga executable file ("/proc/ /exe" nagpunting sa usa ka hilit nga file). Ang usa ka timaan mahimo usab nga ang presensya sa trapiko sa network port 5555, nga mahitabo kung ang malware maka-access sa kasagaran nga pool web.xmrpool.eu sa panahon sa pagmina sa Monero cryptocurrency.
Source: opennet.ru