Cumpagnia Guardicore, specializata in a prutezzione di centri di dati è sistemi di nuvola, FritzFrog, un novu malware high-tech chì attacca i servitori basati in Linux. FritzFrog combina un vermu chì si sparghje per un attaccu di forza bruta à i servitori cù un portu SSH apertu, è cumpunenti per custruisce una botnet decentralizata chì opera senza nodi di cuntrollu è ùn hà micca un puntu di fallimentu unicu.
Per custruisce una botnet, hè utilizatu un protokollu P2P propiu, in quale i nodi interagiscenu cù l'altri, coordinanu l'urganizazione di attacchi, sustene l'operazione di a reta è monitoranu u statu di l'altri. Nuvelle vittime sò truvate da un attaccu di forza bruta à i servitori chì accettanu richieste via SSH. Quandu un novu servitore hè rilevatu, un dizziunariu di cumminzioni tipiche di logins è password hè cercatu. U cuntrollu pò esse realizatu per ogni node, chì face difficiuli di identificà è bluccà l'operatori di botnet.
Sicondu i circadori, a botnet hà digià circa 500 nodi, cumprese i servitori di parechje università è una grande cumpagnia di ferrovia. Hè nutatu chì i principali obiettivi di l'attaccu sò rete di istituzioni educative, centri medichi, agenzie di guvernu, banche è cumpagnie di telecomunicazioni. Dopu chì u servitore hè cumprumissu, u prucessu di minazione di a criptografia di Monero hè urganizatu nantu à questu. L'attività di u malware in quistione hè stata tracciata da ghjennaghju 2020.
A cosa speciale di FritzFrog hè chì mantene tutte e dati è u codice eseguibile solu in memoria. I cambiamenti nantu à u discu sò solu di aghjunghje una nova chjave SSH à u schedariu authorized_keys, chì hè in seguitu utilizatu per accede à u servitore. I schedarii di u sistema ùn sò micca cambiati, chì rende u verme invisibili à i sistemi chì verificanu l'integrità cù checksums. A memoria guarda ancu dizziunarii per password di forza bruta è dati per a minera, chì sò sincronizati trà i nodi cù u protocolu P2P.
I cumpunenti maliziusi sò camuffati cum'è prucessi ifconfig, libexec, php-fpm è nginx. I nodi di Botnet monitoranu l'estatus di i so vicini è, se u servitore hè riavviatu o ancu u SO hè reinstallatu (se un schedariu authorized_keys modificatu hè statu trasferitu à u novu sistema), riattivanu cumpunenti maliziusi nantu à l'ospiti. Per a cumunicazione, SSH standard hè utilizatu - u malware lancia in più un "netcat" locale chì si unisce à l'interfaccia di l'host locale è ascolta u trafficu in u portu 1234, chì l'ospiti esterni accede à traversu un tunnel SSH, utilizendu una chjave da authorized_keys per cunnette.
U codice di cumpunenti FritzFrog hè scrittu in Go è corre in modu multi-threaded. U malware include parechji moduli chì funzionanu in diversi fili:
- Cracker - cerca di password nantu à i servitori attaccati.
- CryptoComm + Parser - urganizeghja una cunnessione P2P criptata.
- CastVotes hè un mecanismu per selezziunà cumunu l'ospiti di destinazione per l'attaccu.
- TargetFeed - Riceve una lista di nodi per attaccà da i nodi vicini.
- DeployMgmt hè una implementazione di un verme chì distribuisce codice maliziusu à un servitore cumprumissu.
- Proprietà - rispunsevuli di cunnette à i servitori chì sò digià in esecuzione di codice maliziusu.
- Assemble - assemble un schedariu in memoria da blocchi trasferiti separatamente.
- Antivir - un modulu per a suppressione di malware in competizione, identifica è finisce i prucessi cù a stringa "xmr" chì cunsuma risorse CPU.
- Libexec hè un modulu per a minera di a criptografia di Monero.
U protokollu P2P utilizatu in FritzFrog supporta circa 30 cumandamenti rispunsevuli di trasferimentu di dati trà i nodi, eseguisce script, trasferimentu di cumpunenti di malware, statutu di polling, scambià logs, lanciamentu di proxy, etc. L'infurmazione hè trasmessa nantu à un canale criptatu separatu cù serializazione in formatu JSON. A criptografia usa cifru AES asimmetricu è codificazione Base64. U protocolu DH hè utilizatu per u scambiu di chjave (). Per determinà u statu, i nodi scambianu constantemente richieste di ping.
Tutti i nodi di botnet mantenenu una basa di dati distribuita cù infurmazioni nantu à i sistemi attaccati è cumprumessi. I mira di l'attaccu sò sincronizati in tutta a botnet - ogni nodu attacca un mira separatu, i.e. dui nodi di botnet diffirenti ùn attaccheranu micca u stessu host. I nodi recullanu ancu è trasmettenu statistiche lucali à i vicini, cum'è a dimensione di memoria libera, uptime, carica di CPU è attività di login SSH. Questa informazione hè aduprata per decide s'ellu principia u prucessu di minatura o aduprà u node solu per attaccà à l'altri sistemi (per esempiu, a minera ùn principia micca in sistemi caricati o sistemi cù cunnessione amministratore frequente).
Per identificà FritzFrog, i circadori anu prupostu un simplice . Per determinà i danni di u sistema
segni cum'è a prisenza di una cunnessione à sente in u portu 1234, a prisenza in authorized_keys (a stessa chjave SSH hè stallata nantu à tutti i nodi) è a presenza in memoria di prucessi in esecuzione "ifconfig", "libexec", "php-fpm" è "nginx" chì ùn anu micca file eseguibili associati ("/proc/ /exe" punta à un schedariu remoto). Un signu pò ancu esse a prisenza di u trafficu nantu à u portu di a reta 5555, chì si trova quandu u malware accede à u web.xmrpool.eu piscina tipica durante a minera di a criptografia di Monero.
Source: opennet.ru