Cwmni Guardicore, sy'n arbenigo mewn diogelu canolfannau data a systemau cwmwl, FritzFrog, meddalwedd maleisus uwch-dechnoleg newydd sy'n ymosod ar weinyddion sy'n seiliedig ar Linux. Mae FritzFrog yn cyfuno mwydyn sy'n ymledu trwy ymosodiad bruteforce ar weinyddion gyda phorthladd SSH agored, a chydrannau i adeiladu botnet datganoledig sy'n gweithredu heb nodau rheoli ac nad oes ganddo un pwynt methiant.
I adeiladu botnet, defnyddir protocol P2P perchnogol, lle mae nodau'n rhyngweithio â'i gilydd, yn cydlynu trefniadaeth ymosodiadau, yn cefnogi gweithrediad y rhwydwaith ac yn monitro statws ei gilydd. Mae dioddefwyr newydd yn cael eu canfod trwy gynnal ymosodiad bruteforce ar weinyddion sy'n derbyn ceisiadau trwy SSH. Pan ganfyddir gweinydd newydd, chwilir geiriadur o gyfuniadau nodweddiadol o fewngofnodi a chyfrineiriau. Gellir rheoli trwy unrhyw nod, sy'n ei gwneud hi'n anodd nodi a rhwystro gweithredwyr botnet.
Yn ôl ymchwilwyr, mae gan y botnet tua 500 o nodau eisoes, gan gynnwys gweinyddwyr sawl prifysgol a chwmni rheilffordd mawr. Nodir mai prif dargedau'r ymosodiad yw rhwydweithiau o sefydliadau addysgol, canolfannau meddygol, asiantaethau'r llywodraeth, banciau a chwmnïau telathrebu. Ar ôl i'r gweinydd gael ei beryglu, trefnir y broses o gloddio'r cryptocurrency Monero arno. Mae gweithgaredd y malware dan sylw wedi'i olrhain ers mis Ionawr 2020.
Y peth arbennig am FritzFrog yw ei fod yn cadw'r holl ddata a chod gweithredadwy yn y cof yn unig. Mae newidiadau ar y ddisg yn cynnwys ychwanegu allwedd SSH newydd i'r ffeil author_keys yn unig, a ddefnyddir wedyn i gyrchu'r gweinydd. Nid yw ffeiliau system yn cael eu newid, sy'n gwneud y mwydyn yn anweledig i systemau sy'n gwirio cywirdeb gan ddefnyddio checksums. Mae'r cof hefyd yn storio geiriaduron ar gyfer cyfrineiriau 'n Ysgrublaidd a data ar gyfer mwyngloddio, sy'n cael eu cydamseru rhwng nodau gan ddefnyddio'r protocol P2P.
Mae cydrannau maleisus yn cael eu cuddliwio fel prosesau ifconfig, libexec, php-fpm a nginx. Mae nodau botnet yn monitro statws eu cymdogion ac, os yw'r gweinydd yn cael ei ailgychwyn neu hyd yn oed yr OS yn cael ei ailosod (pe bai ffeil awdurdodedig wedi'i haddasu yn cael ei throsglwyddo i'r system newydd), maen nhw'n ail-ysgogi cydrannau maleisus ar y gwesteiwr. Ar gyfer cyfathrebu, defnyddir SSH safonol - mae'r meddalwedd maleisus hefyd yn lansio “netcat” lleol sy'n clymu i'r rhyngwyneb localhost ac yn gwrando ar draffig ar borthladd 1234, y mae allanol yn cynnal mynediad trwy dwnnel SSH, gan ddefnyddio allwedd o author_keys i gysylltu.
Mae cod cydran FritzFrog wedi'i ysgrifennu yn Go ac mae'n rhedeg mewn modd aml-edau. Mae'r malware yn cynnwys sawl modiwl sy'n rhedeg mewn gwahanol edafedd:
- Cracker - yn chwilio am gyfrineiriau ar weinyddion yr ymosodwyd arnynt.
- CryptoComm + Parser - yn trefnu cysylltiad P2P wedi'i amgryptio.
- Mae CastVotes yn fecanwaith ar gyfer dewis gwesteiwyr targed ar gyfer ymosodiad ar y cyd.
- TargetFeed - Yn derbyn rhestr o nodau i ymosod gan nodau cyfagos.
- Mae DeployMgmt yn weithrediad mwydyn sy'n dosbarthu cod maleisus i weinydd sydd dan fygythiad.
- Yn berchen arno - yn gyfrifol am gysylltu â gweinyddwyr sydd eisoes yn rhedeg cod maleisus.
- Cydosod - yn cydosod ffeil er cof o flociau a drosglwyddwyd ar wahân.
- Antivir - modiwl ar gyfer atal malware sy'n cystadlu, yn nodi ac yn terfynu prosesau gyda'r llinyn “xmr” sy'n defnyddio adnoddau CPU.
- Modiwl ar gyfer mwyngloddio arian cyfred digidol Monero yw Libexec.
Mae'r protocol P2P a ddefnyddir yn FritzFrog yn cefnogi tua 30 o orchmynion sy'n gyfrifol am drosglwyddo data rhwng nodau, rhedeg sgriptiau, trosglwyddo cydrannau malware, statws pleidleisio, cyfnewid logiau, lansio dirprwyon, ac ati. Mae gwybodaeth yn cael ei throsglwyddo dros sianel wedi'i hamgryptio ar wahân gyda chyfresoli mewn fformat JSON. Mae amgryptio yn defnyddio seiffr AES anghymesur ac amgodio Base64. Defnyddir y protocol DH ar gyfer cyfnewid allweddi (). Er mwyn pennu'r cyflwr, mae nodau'n cyfnewid ceisiadau ping yn gyson.
Mae pob nod botnet yn cynnal cronfa ddata ddosranedig gyda gwybodaeth am systemau yr ymosodwyd arnynt ac sydd dan fygythiad. Mae targedau ymosodiad yn cael eu cysoni trwy gydol y botnet - mae pob nod yn ymosod ar darged ar wahân, h.y. ni fydd dau nod botnet gwahanol yn ymosod ar yr un gwesteiwr. Mae nodau hefyd yn casglu ac yn trosglwyddo ystadegau lleol i gymdogion, megis maint cof am ddim, uptime, llwyth CPU, a gweithgaredd mewngofnodi SSH. Defnyddir y wybodaeth hon i benderfynu a ddylid cychwyn y broses fwyngloddio neu ddefnyddio'r nod yn unig i ymosod ar systemau eraill (er enghraifft, nid yw mwyngloddio yn dechrau ar systemau wedi'u llwytho neu systemau â chysylltiadau gweinyddwyr aml).
Er mwyn adnabod FritzFrog, mae ymchwilwyr wedi cynnig syml . Er mwyn pennu difrod i'r system
arwyddion megis presenoldeb cysylltiad gwrando ar borthladd 1234, presenoldeb mewn awdurdodi_keys (mae'r un allwedd SSH wedi'i gosod ar bob nod) a phresenoldeb er cof am redeg prosesau “ifconfig”, “libexec”, “php-fpm” a “nginx” nad oes ganddyn nhw ffeiliau gweithredadwy cysylltiedig (“/ proc/ /exe" yn pwyntio at ffeil o bell). Gall arwydd hefyd fod presenoldeb traffig ar borthladd rhwydwaith 5555, sy'n digwydd pan fydd malware yn cyrchu'r pwll nodweddiadol web.xmrpool.eu yn ystod mwyngloddio cryptocurrency Monero.
Ffynhonnell: opennet.ru