Companaidh Guardicore, a tha gu sònraichte a’ dìon ionadan dàta agus siostaman sgòthan, FritzFrog, malware àrdteicneòlais ùr a bheir ionnsaigh air frithealaichean stèidhichte air Linux. Bidh FritzFrog a’ cothlamadh cnuimh a bhios a’ sgaoileadh tro ionnsaigh brùideil air frithealaichean le port SSH fosgailte, agus co-phàirtean gus botnet dì-mheadhanaichte a thogail a bhios ag obair às aonais nodan smachd agus aig nach eil aon phuing fàiligeadh.
Gus botnet a thogail, thathas a ’cleachdadh protocol P2P seilbh, anns am bi nodan ag eadar-obrachadh le chèile, a’ co-òrdanachadh eagrachadh ionnsaighean, a ’toirt taic do ghnìomhachd an lìonra agus a’ cumail sùil air inbhe a chèile. Lorgar luchd-fulaing ùr le bhith a’ dèanamh ionnsaigh brùideil air luchd-frithealaidh a ghabhas ri iarrtasan tro SSH. Nuair a lorgar frithealaiche ùr, thèid faclair de mheasgachadh àbhaisteach de logadh a-steach agus faclan-faire a sgrùdadh. Faodar smachd a dhèanamh tro nód sam bith, a tha ga dhèanamh duilich luchd-obrachaidh botnet aithneachadh agus a bhacadh.
A rèir luchd-rannsachaidh, tha timcheall air 500 nodan aig a ’botnet mu thràth, a’ toirt a-steach frithealaichean grunn oilthighean agus companaidh rèile mòr. Tha e air a thoirt fa-near gur e prìomh thargaidean an ionnsaigh lìonraidhean de ionadan foghlaim, ionadan meidigeach, buidhnean riaghaltais, bancaichean agus companaidhean cian-conaltraidh. Às deidh don fhrithealaiche a bhith air a chuir an sàs, tha am pròiseas mèinneadh an Monero cryptocurrency air a chuir air dòigh air. Thathas air gnìomhachd an malware sin a lorg bhon Fhaoilleach 2020.
Is e an rud sònraichte mu FritzFrog gu bheil e a’ cumail a h-uile dàta agus còd so-ghnìomhaichte a-mhàin mar chuimhneachan. Chan eil ann an atharrachaidhean air an diosc ach iuchair SSH ùr a chur ris an fhaidhle ùghdarraichte_keys, a thèid a chleachdadh às deidh sin gus faighinn chun t-seirbheisiche. Chan eil faidhlichean siostam air an atharrachadh, a tha a’ fàgail a’ bhoiteag do-fhaicsinneach do shiostaman a nì sgrùdadh air ionracas a’ cleachdadh checksums. Bidh an cuimhne cuideachd a’ stòradh fhaclairean airson faclan-faire brùideil agus dàta airson mèinnearachd, a tha air an sioncronadh eadar nodan a’ cleachdadh protocol P2P.
Tha co-phàirtean droch-rùnach air an luadhadh mar phròiseasan ifconfig, libexec, php-fpm agus nginx. Bidh nodan botnet a’ cumail sùil air inbhe an nàbaidhean agus, ma thèid am frithealaiche ath-thòiseachadh no eadhon an OS ath-shuidheachadh (ma chaidh faidhle atharraichte ùghdarraichte_keys a ghluasad chun t-siostam ùr), bidh iad ag ath-ghnìomhachadh co-phàirtean droch-rùnach air an òstair. Airson conaltradh, bithear a’ cleachdadh SSH àbhaisteach - bidh an malware cuideachd a’ cur air bhog “netcat” ionadail a tha a’ ceangal ris an eadar-aghaidh localhost agus ag èisteachd ri trafaic air port 1234, a bhios a’ toirt aoigheachd don taobh a-muigh tro thunail SSH, a’ cleachdadh iuchair bho ùghdarraichte_keys airson ceangal.
Tha còd co-phàirt FritzFrog sgrìobhte ann an Go agus a’ ruith ann am modh ioma-snàithlean. Tha an malware a’ toirt a-steach grunn mhodalan a bhios a’ ruith ann an diofar snàithleanan:
- Cracker - a’ lorg faclan-faire air frithealaichean fo ionnsaigh.
- CryptoComm + Parser - a 'cur air dòigh ceangal P2P crioptaichte.
- Tha CastVotes na inneal airson luchd-aoigheachd targaid a thaghadh airson ionnsaigh.
- TargetFeed - A’ faighinn liosta de nodan airson ionnsaigh bho nodan faisg air làimh.
- Tha DeployMgmt na bhuileachadh air cnuimh a bhios a’ sgaoileadh còd droch-rùnach gu frithealaiche a tha ann an cunnart.
- Seilbh - le uallach airson ceangal ri frithealaichean a tha mar-thà a 'ruith còd droch-rùnach.
- Cruinnich - cruinnich faidhle mar chuimhneachan bho bhlocaichean air an gluasad air leth.
- Antivir - modal airson a bhith a’ cuir stad air malware farpaiseach, a’ comharrachadh agus a’ crìochnachadh phròiseasan leis an t-sreang “xmr” a bhios ag ithe goireasan CPU.
- Tha Libexec na mhodal airson mèinneadh cryptocurrency Monero.
Tha am protocol P2P a thathar a’ cleachdadh ann am FritzFrog a’ toirt taic do mu òrdughan 30 le uallach airson a bhith a’ gluasad dàta eadar nodan, a’ ruith sgriobtaichean, a’ gluasad phàirtean malware, inbhe bhòtaidh, ag iomlaid logaichean, a’ cur air bhog proxies, msaa. Tha fiosrachadh air a ghluasad thairis air seanal crioptaichte air leth le sreathachadh ann an cruth JSON. Bidh crioptachadh a’ cleachdadh cipher AES neo-chunbhalach agus còdachadh Base64. Tha am protocol DH air a chleachdadh airson prìomh iomlaid (). Gus an stàit a dhearbhadh, bidh nodan an-còmhnaidh ag iomlaid iarrtasan ping.
Bidh a h-uile nod botnet a’ cumail stòr-dàta sgaoilte le fiosrachadh mu shiostaman fo ionnsaigh agus fo chunnart. Tha targaidean ionnsaigh air an sioncronadh air feadh an botnet - bidh gach nód a’ toirt ionnsaigh air targaid air leth, i.e. cha toir dà nodan botnet eadar-dhealaichte ionnsaigh air an aon aoigh. Bidh nodan cuideachd a ’tional agus a’ sgaoileadh staitistig ionadail gu nàbaidhean, leithid meud cuimhne an-asgaidh, uptime, luchdachadh CPU, agus gnìomhachd logadh a-steach SSH. Tha am fiosrachadh seo air a chleachdadh gus co-dhùnadh am bu chòir am pròiseas mèinnearachd a thòiseachadh no an nód a chleachdadh a-mhàin gus ionnsaigh a thoirt air siostaman eile (mar eisimpleir, chan eil mèinnearachd a’ tòiseachadh air siostaman luchdaichte no siostaman le ceanglaichean rianadair tric).
Gus FritzFrog a chomharrachadh, tha luchd-rannsachaidh air sìmplidh a mholadh . Gus dearbhadh milleadh siostam
soidhnichean leithid làthaireachd ceangal èisteachd air port 1234, làthaireachd ann an ùghdarraichte_keys (tha an aon iuchair SSH air a chuir a-steach air a h-uile nod) agus an làthaireachd mar chuimhneachan air pròiseasan ruith “ifconfig”, “libexec”, “php-fpm” agus “nginx” aig nach eil faidhlichean so-ghnìomhaichte co-cheangailte (“/ proc/ / exe" a’ comharrachadh faidhle iomallach). Faodaidh soidhne cuideachd a bhith an làthair trafaic air port lìonra 5555, a bhios a ’tachairt nuair a gheibh malware cothrom air an amar àbhaisteach web.xmrpool.eu aig àm mèinneadh cryptocurrency Monero.
Source: fosgailtenet.ru