Guardicore enpresa, datu-zentroen eta hodeiko sistemen babesean espezializatua, FritzFrog, Linuxen oinarritutako zerbitzariei erasotzen dien goi-teknologiako malware berria. FritzFrog-ek SSH ataka irekia duten zerbitzarietan indar gordineko eraso baten bidez hedatzen den harra eta osagaiak konbinatzen ditu kontrol-nodorik gabe funtzionatzen duen botnet deszentralizatua eraikitzeko eta huts-puntu bakarra ez duena.
Botnet bat eraikitzeko, jabedun P2P protokolo bat erabiltzen da, zeinetan nodoek elkarri eragiten dioten, erasoen antolaketa koordinatzen dute, sarearen funtzionamendua onartzen dute eta elkarren egoera kontrolatzen dute. SSH bidez eskaerak onartzen dituzten zerbitzarietan indar gordineko eraso bat eginez biktima berriak aurkitzen dira. Zerbitzari berri bat detektatzen denean, saio-hasiera eta pasahitzen ohiko konbinazioen hiztegia bilatzen da. Kontrola edozein nodoren bidez egin daiteke, eta horrek zaildu egiten du botnet-en operadoreak identifikatzea eta blokeatzea.
Ikertzaileen arabera, botnetak dagoeneko 500 nodo inguru ditu, hainbat unibertsitatetako zerbitzariak eta tren konpainia handi baten barne. Erasoaren helburu nagusiak hezkuntza-erakundeen, mediku-zentroen, gobernu-agentzien, bankuen eta telekomunikazio-enpresen sareak direla adierazi da. Zerbitzaria arriskuan jarri ondoren, Monero kriptomoneta meatzaritza prozesua bertan antolatzen da. Aipatutako malwarearen jarduera 2020ko urtarriletik jarraitu da.
FritzFrog-en berezitasuna da datu guztiak eta kode exekutagarria memorian soilik gordetzen dituela. Diskoan egindako aldaketak SSH gako berri bat gehitzean soilik datza authorized_keys fitxategian, gero zerbitzarian sartzeko erabiltzen dena. Sistema-fitxategiak ez dira aldatzen, eta horrek harra ikusezin bihurtzen du osotasuna egiaztatzen duten sistemak checksums erabiliz. Memoriak bortxaketa gordinaren pasahitzak eta meatzaritzako datuak ere gordetzen ditu, nodoen artean P2P protokoloa erabiliz sinkronizatzen direnak.
Osagai gaiztoak ifconfig, libexec, php-fpm eta nginx prozesu gisa kamuflatzen dira. Botnet-eko nodoek beren bizilagunen egoera kontrolatzen dute eta, zerbitzaria berrabiarazten bada edo OSa berriro instalatzen bada (aldatutako authorized_keys fitxategi bat sistema berrira transferitu bazen), ostalariaren osagai gaiztoak berriro aktibatzen dituzte. Komunikaziorako, SSH estandarra erabiltzen da - malwareak, gainera, tokiko "netcat" bat abiarazten du, localhost interfazearekin lotzen dena eta 1234 atakako trafikoa entzuten duena, kanpoko ostalariak SSH tunel baten bidez sartzen direnak, authorized_keys-eko gako bat erabiliz konektatzeko.
FritzFrog osagaiaren kodea Go-n idatzita dago eta hari anitzeko moduan exekutatzen da. Malwareak hari ezberdinetan exekutatzen diren hainbat modulu ditu:
- Cracker - erasotutako zerbitzarietan pasahitzak bilatzen ditu.
- CryptoComm + Parser - P2P konexio enkriptatutako bat antolatzen du.
- CastVotes erasorako xede-ostalariak elkarrekin hautatzeko mekanismo bat da.
- TargetFeed - aldameneko nodoetatik erasotzeko nodoen zerrenda jasotzen du.
- DeployMgmt arriskutsua den zerbitzari batean kode gaiztoa banatzen duen harra baten inplementazioa da.
- Jabea - dagoeneko kode gaiztoa exekutatzen ari diren zerbitzarietara konektatzeaz arduratzen da.
- Assemble - memorian fitxategi bat muntatzen du bereiz transferitutako blokeetatik.
- Antivir - malware lehiakorra kentzeko modulua, CPU baliabideak kontsumitzen dituzten "xmr" katearekin prozesuak identifikatzen eta amaitzen ditu.
- Libexec Monero kriptomoneta meatzaritza egiteko modulua da.
FritzFrog-en erabiltzen den P2P protokoloak 30 komando inguru onartzen ditu nodoen artean datuak transferitzeko, script-ak exekutatzeko, malware osagaiak transferitzeko, galdeketaren egoera, erregistroak trukatzeko, proxyak abiarazteko, etab. Informazioa enkriptatutako kanal bereizi baten bidez transmititzen da JSON formatuan serializazioarekin. Enkriptatzea AES zifra asimetrikoa eta Base64 kodeketa erabiltzen ditu. DH protokoloa gakoak trukatzeko erabiltzen da (). Egoera zehazteko, nodoek etengabe trukatzen dituzte ping eskaerak.
Botnet nodo guztiek datu-base bana mantentzen dute erasotutako eta arriskutsuko sistemei buruzko informazioarekin. Eraso-helburuak botnet osoan sinkronizatzen dira - nodo bakoitzak helburu bereizi bati erasotzen dio, hau da. bi botnet nodo ezberdinek ez diote ostalari berari erasoko. Nodoek tokiko estatistikak biltzen eta transmititzen dituzte auzokideei, hala nola, memoria librearen tamaina, funtzionamendu-denbora, CPU karga eta SSH saioa hasteko jarduera. Informazio hau meatzaritza-prozesua abiarazi edo nodoa beste sistema batzuei erasotzeko soilik erabili erabakitzeko erabiltzen da (adibidez, meatzaritza ez da kargatutako sistemetan edo administratzaile-konexio maiz dituzten sistemetan hasten).
FritzFrog identifikatzeko, ikertzaileek sinple bat proposatu dute . Sistemaren kalteak zehazteko
1234 atakan entzuteko konexio baten presentzia bezalako seinaleak, presentzia baimendutako_gakoetan (nodo guztietan SSH gako bera instalatuta dago) eta exekutatzen diren "ifconfig", "libexec", "php-fpm" eta "nginx" prozesuen presentzia memorian fitxategi exekutagarri elkarturik ez dutenak ("/proc/ /exe" urruneko fitxategi batera seinalatzen du). Seinale bat sareko 5555 atakan trafikoaren presentzia ere izan daiteke, hau da, malwarea web.xmrpool.eu igerileku tipikora sartzen denean gertatzen den Monero kriptomoneta meatzaritzan.
Iturria: opennet.ru