Guardicore ettevõte, mis on spetsialiseerunud andmekeskuste ja pilvesüsteemide kaitsele, FritzFrog, uus kõrgtehnoloogiline pahavara, mis ründab Linuxi-põhiseid servereid. FritzFrog ühendab ussi, mis levib bruteforce rünnaku kaudu avatud SSH-pordiga serverite vastu, ja komponente, et luua detsentraliseeritud botnet, mis töötab ilma juhtsõlmedeta ja millel pole ühtegi tõrkepunkti.
Botivõrgu ehitamiseks kasutatakse patenteeritud P2P-protokolli, milles sõlmed suhtlevad üksteisega, koordineerivad rünnakute korraldamist, toetavad võrgu toimimist ja jälgivad üksteise olekut. Uued ohvrid leitakse jõhkra jõu rünnakuga serverite vastu, mis võtavad vastu SSH kaudu päringuid. Uue serveri tuvastamisel otsitakse tüüpiliste sisselogimiste ja paroolide kombinatsioonide sõnastikku. Juhtimist saab läbi viia mis tahes sõlme kaudu, mis muudab robotvõrgu operaatorite tuvastamise ja blokeerimise keeruliseks.
Teadlaste sõnul on botnetis juba umbes 500 sõlme, sealhulgas mitme ülikooli ja suure raudteefirma serverid. Märgitakse, et rünnaku peamised sihtmärgid on haridusasutuste, meditsiinikeskuste, valitsusasutuste, pankade ja telekommunikatsiooniettevõtete võrgud. Pärast serveri ohtu sattumist korraldatakse sellel Monero krüptovaluuta kaevandamise protsess. Kõnealuse pahavara tegevust on jälgitud alates 2020. aasta jaanuarist.
FritzFrogi eripära on see, et see hoiab kõiki andmeid ja käivitatavat koodi ainult mälus. Ketta muudatused seisnevad ainult uue SSH-võtme lisamises faili authorised_keys, mida hiljem kasutatakse serverile juurdepääsuks. Süsteemifaile ei muudeta, mis muudab ussi nähtamatuks süsteemidele, mis kontrollivad terviklikkust kontrollsummade abil. Mälu salvestab ka sõnastikke jõhkrate sundivate paroolide ja kaevandamise andmete jaoks, mis sünkroonitakse P2P-protokolli abil sõlmede vahel.
Pahatahtlikud komponendid on maskeeritud kui protsessid ifconfig, libexec, php-fpm ja nginx. Botivõrgu sõlmed jälgivad oma naabrite olekut ja kui server taaskäivitatakse või isegi OS uuesti installitakse (kui uude süsteemi viidi üle muudetud author_keys fail), aktiveerivad nad hostis uuesti pahatahtlikud komponendid. Suhtlemiseks kasutatakse standardset SSH-d - pahavara käivitab lisaks kohaliku "netcati", mis seostub kohaliku hosti liidesega ja kuulab liiklust pordis 1234, millele välishostid pääsevad juurde SSH-tunneli kaudu, kasutades ühenduse loomiseks võtit authorised_keys.
FritzFrogi komponendi kood on kirjutatud Go-s ja töötab mitme lõimega režiimis. Pahavara sisaldab mitmeid mooduleid, mis töötavad erinevates lõimedes:
- Cracker – otsib rünnatud serveritest paroole.
- CryptoComm + Parser – korraldab krüptitud P2P-ühenduse.
- CastVotes on mehhanism, mille abil saab ühiselt valida rünnakuks sihtmärke.
- TargetFeed – saab naabersõlmedelt rünnatavate sõlmede loendi.
- DeployMgmt on ussi teostus, mis levitab pahatahtlikku koodi ohustatud serverisse.
- Omandatud – vastutab ühenduse loomise eest serveritega, mis juba kasutavad pahatahtlikku koodi.
- Assemble – koondab eraldi ülekantud plokkidest mällu faili.
- Viirusetõrje – moodul konkureeriva pahavara mahasurumiseks, tuvastab ja lõpetab protsessid stringiga “xmr”, mis tarbivad protsessori ressursse.
- Libexec on moodul Monero krüptovaluuta kaevandamiseks.
FritzFrogis kasutatav P2P-protokoll toetab umbes 30 käsku, mis vastutavad andmete edastamise eest sõlmede vahel, skriptide käitamise, pahavara komponentide edastamise, küsitluse oleku, logide vahetamise, puhverserverite käivitamise jms eest. Teave edastatakse eraldi krüpteeritud kanali kaudu JSON-vormingus serialiseerimisega. Krüptimisel kasutatakse asümmeetrilist AES-šifrit ja Base64 kodeeringut. DH protokolli kasutatakse võtme vahetamiseks (). Oleku määramiseks vahetavad sõlmed pidevalt pingitaotlusi.
Kõik robotivõrgu sõlmed haldavad hajutatud andmebaasi, mis sisaldab teavet rünnatud ja ohustatud süsteemide kohta. Rünnaku sihtmärgid on sünkroniseeritud kogu botneti ulatuses – iga sõlm ründab eraldi sihtmärki, s.t. kaks erinevat robotivõrgu sõlme ei ründa sama hosti. Sõlmed koguvad ja edastavad naabritele ka kohalikku statistikat, nagu vaba mälumaht, tööaeg, protsessori koormus ja SSH-i sisselogimistegevus. Seda teavet kasutatakse selleks, et otsustada, kas alustada kaevandamisprotsessi või kasutada sõlme ainult teiste süsteemide ründamiseks (näiteks kaevandamine ei alga laaditud süsteemides või süsteemides, millel on sagedased administraatoriühendused).
FritzFrogi tuvastamiseks on teadlased pakkunud välja lihtsa . Süsteemi kahjustuste kindlakstegemiseks
märgid, nagu kuulamisühenduse olemasolu pordis 1234, olemasolu in authorised_keys (sama SSH-võti on installitud kõikidesse sõlmedesse) ja töötavate protsesside "ifconfig", "libexec", "php-fpm" ja "nginx" olemasolu mälus, millel pole seotud käivitatavaid faile ("/proc/" /exe" osutab kaugfailile). Märgiks võib olla ka liikluse olemasolu võrgupordis 5555, mis tekib siis, kui pahavara Monero krüptovaluuta kaevandamise ajal pääseb tüüpilisele basseinile web.xmrpool.eu.
Allikas: opennet.ru