ʻO ka hui Guardicore, kūikawā i ka pale ʻana i nā kikowaena data a me nā ʻōnaehana kapua, ʻO FritzFrog, kahi polokalamu ʻenehana kiʻekiʻe hou e hoʻouka nei i nā kikowaena Linux. Hoʻohui ʻo FritzFrog i kahi ilo e laha ana ma o ka hoʻouka kaua ʻana i nā kikowaena me kahi awa SSH hāmama, a me nā ʻāpana e kūkulu i kahi botnet decentralized e hana ana me ka ʻole o nā nodes mana a ʻaʻohe wahi o ka hemahema.
No ke kūkulu ʻana i kahi botnet, hoʻohana ʻia kahi protocol P2P proprietary, kahi e launa pū ai nā nodes me kekahi, hoʻonohonoho i ka hui o nā hoʻouka ʻana, kākoʻo i ka hana o ka pūnaewele a nānā i ke kūlana o kēlā me kēia. Loaʻa nā poʻe hou ma ka hoʻokō ʻana i kahi hoʻouka kaua ma luna o nā kikowaena e ʻae i nā noi ma o SSH. Ke ʻike ʻia kahi kikowaena hou, ʻimi ʻia kahi puke wehewehe ʻōlelo o nā hui maʻamau o nā logins a me nā ʻōlelo huna. Hiki ke hoʻokō ʻia ka mana ma o kekahi node, he mea paʻakikī ke hoʻomaopopo a hoʻopaʻa i nā mea hoʻohana botnet.
Wahi a ka poʻe noiʻi, aia ka botnet ma kahi o 500 nodes, me nā kikowaena o nā kulanui a me kahi hui kaʻaahi nui. Hoʻomaopopo ʻia ʻo nā pahuhopu nui o ka hoʻouka ʻana he mau pūnaewele o nā ʻoihana hoʻonaʻauao, nā kikowaena olakino, nā keʻena aupuni, nā panakō a me nā hui kelepona. Ma hope o ka hoʻopili ʻia ʻana o ke kikowaena, ua hoʻonohonoho ʻia ke kaʻina hana o ka mining i ka cryptocurrency Monero ma luna. Ua ʻike ʻia ka hana o ka malware i nīnau ʻia mai Ianuali 2020.
ʻO ka mea kūikawā e pili ana iā FritzFrog ʻo ia ka mālama ʻana i nā ʻikepili āpau a me nā code executable wale nō i ka hoʻomanaʻo. ʻO nā hoʻololi ʻana ma ka diski ka hoʻohui ʻana i kahi kī SSH hou i ka faila authorized_keys, a laila hoʻohana ʻia e komo i ke kikowaena. ʻAʻole hoʻololi ʻia nā faila ʻōnaehana, kahi e ʻike ʻole ai ka ilo i nā ʻōnaehana e nānā pono i ka hoʻohana ʻana i nā checksums. Hoʻopaʻa pū ka hoʻomanaʻo i nā puke wehewehe ʻōlelo no nā ʻōlelo huna a me nā ʻikepili no ka mining, i hoʻonohonoho ʻia ma waena o nā nodes me ka hoʻohana ʻana i ka protocol P2P.
Hoʻopili ʻia nā mea ʻino e like me ifconfig, libexec, php-fpm a me nā kaʻina nginx. Ke nānā nei nā node Botnet i ke kūlana o ko lākou mau hoalauna a, inā hoʻihoʻi hou ʻia ka server a i ʻole hoʻokomo hou ʻia ka OS (inā ua hoʻololi ʻia kahi faila authorized_keys i hoʻololi ʻia i ka ʻōnaehana hou), hoʻāla hou lākou i nā mea ʻino i ka host. No ke kamaʻilio ʻana, hoʻohana ʻia ka SSH maʻamau - hoʻomaka ka malware i kahi "netcat" kūloko e pili ana i ka interface localhost a hoʻolohe i ke kaʻa ma ke awa 1234, kahi e komo ai nā pūʻali o waho ma o kahi tunnel SSH, me ke kī mai authorized_keys e hoʻohui.
Ua kākau ʻia ke code ʻāpana FritzFrog ma Go a holo i ke ʻano ʻano ʻāwili. Loaʻa i ka malware kekahi mau modula e holo ana ma nā pae like ʻole:
- Cracker - ʻimi i nā ʻōlelo huna ma nā kikowaena hoʻouka ʻia.
- CryptoComm + Parser - hoʻonohonoho i kahi pilina P2P i hoʻopili ʻia.
- ʻO CastVotes kahi hana no ke koho pū ʻana i nā pūʻali i manaʻo ʻia no ka hoʻouka ʻana.
- TargetFeed - Loaʻa i kahi papa inoa o nā nodes e hoʻouka mai nā nodes kokoke.
- ʻO DeployMgmt ka hoʻokō ʻana i kahi ilo e puʻunaue ana i nā code ʻino i kahi kikowaena i hoʻopaʻa ʻia.
- Owned - kuleana no ka hoʻopili ʻana i nā kikowaena e holo nei i nā code malicious.
- Hoʻohui - hōʻuluʻulu i kahi faila i hoʻomanaʻo mai nā poloka i hoʻokaʻawale ʻia.
- ʻO Antivir - kahi module no ke kāohi ʻana i nā polokalamu hoʻokūkū hoʻokūkū, ʻike a hoʻopau i nā kaʻina hana me ke kaula "xmr" e hoʻopau i nā kumuwaiwai CPU.
- ʻO Libexec kahi module no ka ʻeli ʻana i ka cryptocurrency Monero.
Kākoʻo ka protocol P2P i hoʻohana ʻia ma FritzFrog ma kahi o 30 mau kauoha no ka hoʻoili ʻana i ka ʻikepili ma waena o nā nodes, ka holo ʻana i nā palapala, ka hoʻoili ʻana i nā ʻāpana malware, ke kūlana koho balota, ka hoʻololi ʻana i nā lāʻau, ka hoʻomaka ʻana i nā proxies, etc. Hoʻouna ʻia ka ʻike ma luna o kahi kaila hoʻopunipuni ʻokoʻa me ka serialization ma JSON format. Hoʻohana ka hoʻopili ʻana i ka asymmetric AES cipher a me Base64 encoding. Hoʻohana ʻia ka protocol DH no ka hoʻololi kī (). No ka hoʻoholo ʻana i ka mokuʻāina, hoʻololi mau nā nodes i nā noi ping.
Mālama nā node botnet a pau i kahi waihona i hoʻolaha ʻia me ka ʻike e pili ana i nā ʻōnaehana hoʻouka ʻia a hoʻopaʻa ʻia. Hoʻonohonoho ʻia nā pahuhopu hoʻouka i loko o ka botnet - hoʻouka kēlā me kēia node i kahi pahuhopu ʻokoʻa, ʻo ia hoʻi. ʻAʻole e hoʻouka ʻelua mau pūnana botnet ʻokoʻa i ka pūʻali hoʻokahi. E hōʻiliʻili a hoʻouna nā Nodes i nā ʻikepili kūloko i nā hoalauna, e like me ka nui o ka hoʻomanaʻo manuahi, ka uptime, CPU load, a me ka SSH login activity. Hoʻohana ʻia kēia ʻike no ka hoʻoholo ʻana i ka hoʻomaka ʻana i ke kaʻina hana mining a i ʻole e hoʻohana i ka node wale nō e hoʻouka i nā ʻōnaehana ʻē aʻe (no ka laʻana, ʻaʻole hoʻomaka ka mining ma nā ʻōnaehana hoʻouka ʻia a i ʻole nā pūnaewele me nā pilina hoʻomalu pinepine).
No ka ʻike ʻana iā FritzFrog, ua noi nā mea noiʻi i kahi maʻalahi . No ka hoʻoholoʻana i ka pōʻino pūnaewele
nā hōʻailona e like me ke alo o kahi pilina hoʻolohe ma ke awa 1234, ke alo i nā authorized_keys (ua hoʻokomo ʻia ke kī SSH like ma nā nodes a pau) a me ka hoʻomanaʻo ʻana i nā kaʻina holo "ifconfig", "libexec", "php-fpm" a me "nginx" ʻaʻole i pili i nā faila hoʻokō ("/proc/ / exe" kuhikuhi i kahi faila mamao). Hiki i kahi hōʻailona ke hele i ke kaʻa ma ke awa pūnaewele 5555, ka mea i loaʻa i ka wā e komo ai ka malware i ka pool web.xmrpool.eu maʻamau i ka wā o ka mining o ka cryptocurrency Monero.
Source: opennet.ru