Lub tuam txhab Guardicore, tshwj xeeb hauv kev tiv thaiv cov chaw khaws ntaub ntawv thiab huab tshuab, FritzFrog, tus tshiab high-tech malware uas tawm tsam Linux-based servers. FritzFrog muab cov cab uas kis tau los ntawm kev tawm tsam bruteforce ntawm cov servers nrog qhib SSH chaw nres nkoj, thiab cov khoom siv los tsim kom muaj kev faib tawm botnet uas ua haujlwm yam tsis muaj kev tswj hwm thiab tsis muaj ib qho kev ua tsis tiav.
Txhawm rau tsim ib lub botnet, tus tswv P2P raws tu qauv yog siv, uas cov nodes cuam tshuam nrog ib leeg, tswj lub koom haum ntawm kev tawm tsam, txhawb kev ua haujlwm ntawm lub network thiab saib xyuas ib leeg cov xwm txheej. Cov neeg raug tsim txom tshiab tau pom los ntawm kev ua bruteforce nres ntawm cov servers uas lees txais kev thov ntawm SSH. Thaum kuaj pom tus neeg rau zaub mov tshiab, phau ntawv txhais lus ntawm kev sib xyaw ua ke ntawm kev nkag mus thiab tus password raug tshawb nrhiav. Kev tswj hwm tuaj yeem ua tiav los ntawm txhua qhov ntawm, uas ua rau nws nyuaj rau txheeb xyuas thiab thaiv cov neeg ua haujlwm botnet.
Raws li cov kws tshawb fawb, botnet twb muaj txog 500 nodes, suav nrog cov servers ntawm ntau lub tebchaws thiab lub tuam txhab kev tsheb ciav hlau loj. Nws tau raug sau tseg tias lub hom phiaj tseem ceeb ntawm kev tawm tsam yog kev sib txuas ntawm cov tsev kawm ntawv, chaw kho mob, tsoomfwv cov koomhaum, tsev txhab nyiaj thiab cov tuam txhab kev sib txuas lus. Tom qab cov neeg rau zaub mov raug cuam tshuam, cov txheej txheem ntawm mining Monero cryptocurrency tau teeb tsa rau nws. Cov haujlwm ntawm cov malware hauv nqe lus nug tau taug qab txij li Lub Ib Hlis 2020.
Qhov tshwj xeeb tshaj plaws ntawm FritzFrog yog tias nws khaws tag nrho cov ntaub ntawv thiab cov lej ua tiav tsuas yog hauv lub cim xeeb. Cov kev hloov pauv ntawm lub disk tsuas yog ntxiv SSH tus yuam sij tshiab rau cov ntawv tso cai_keys, uas yog siv tom qab nkag mus rau lub server. Cov ntaub ntawv kaw lus tsis raug hloov pauv, uas ua rau cov kab mob tsis pom rau cov kab ke uas tshawb xyuas kev ncaj ncees siv cov checksums. Lub cim xeeb tseem khaws cov phau ntawv txhais lus rau brute-forcing passwords thiab cov ntaub ntawv rau kev tsuas, uas yog synchronized ntawm nodes siv P2P raws tu qauv.
Cov khoom tsis zoo yog camouflaged li ifconfig, libexec, php-fpm thiab nginx txheej txheem. Botnet nodes saib xyuas cov xwm txheej ntawm lawv cov neeg nyob ib puag ncig thiab, yog tias lub server rov pib dua lossis txawm tias OS tau rov nruab (yog tias hloov kho cov ntaub ntawv tso cai_keys tau hloov mus rau qhov system tshiab), lawv rov qhib cov khoom tsis zoo ntawm tus tswv tsev. Rau kev sib txuas lus, tus qauv SSH yog siv - cov malware ntxiv rau lub zos "netcat" uas khi rau lub localhost interface thiab mloog cov tsheb khiav ntawm qhov chaw nres nkoj 1234, uas lwm tus tswv nkag los ntawm SSH qhov, siv tus yuam sij los ntawm authorized_keys los txuas.
FritzFrog tivthaiv code yog sau rau hauv Go thiab khiav hauv ntau txoj xov. Lub malware suav nrog ntau lub modules uas khiav hauv cov xov sib txawv:
- Cracker - nrhiav cov passwords ntawm cov servers tawm tsam.
- CryptoComm + Parser - teeb tsa kev sib txuas P2P encrypted.
- CastVotes yog ib qho kev sib koom ua ke xaiv cov hom phiaj rau kev tawm tsam.
- TargetFeed - Tau txais cov npe ntawm cov nodes los tawm tsam los ntawm cov neeg nyob sib ze.
- DeployMgmt yog ib qho kev siv ntawm tus kab mob uas faib cov lej tsis zoo rau cov neeg rau zaub mov tsis txaus.
- Owned - lub luag haujlwm rau kev txuas mus rau cov servers uas twb tau ua haujlwm tsis zoo.
- Assemble - assembles ib cov ntaub ntawv nyob rau hauv lub cim xeeb los ntawm cais hloov blocks.
- Antivir - tus qauv rau kev tawm tsam kev sib tw malware, txheeb xyuas thiab txiav cov txheej txheem nrog txoj hlua "xmr" uas haus CPU cov peev txheej.
- Libexec yog ib qho module rau mining lub Monero cryptocurrency.
P2P raws tu qauv siv hauv FritzFrog txhawb txog 30 cov lus txib ua lub luag haujlwm rau kev hloov cov ntaub ntawv ntawm cov nodes, khiav cov ntawv, hloov cov khoom siv malware, kev xaiv tsa, sib pauv cov cav, tso npe tawm, thiab lwm yam. Cov ntaub ntawv raug xa mus hla ib qho channel encrypted cais nrog serialization hauv JSON hom. Encryption siv asymmetric AES cipher thiab Base64 encoding. DH raws tu qauv siv rau kev sib pauv tseem ceeb (). Txhawm rau txiav txim siab lub xeev, cov nodes tas li pauv ping thov.
Tag nrho cov botnet nodes tuav cov ntaub ntawv xa tawm nrog cov ntaub ntawv hais txog kev tawm tsam thiab kev cuam tshuam. Attack lub hom phiaj yog synchronized thoob plaws hauv botnet - txhua qhov ntawm cov phiaj xwm sib cais, piv txwv li. ob qhov sib txawv botnet nodes yuav tsis tawm tsam tib tus tswv tsev. Nodes tseem sau thiab xa cov txheeb cais hauv zos rau cov neeg nyob ze, xws li lub cim xeeb dawb, lub sijhawm ua haujlwm, CPU load, thiab SSH nkag mus ua haujlwm. Cov ntaub ntawv no yog siv los txiav txim siab seb puas yuav pib cov txheej txheem mining los yog siv cov node nkaus xwb los tua lwm lub tshuab (piv txwv li, mining tsis pib ntawm cov tshuab thauj khoom lossis cov tshuab nrog kev sib txuas ua haujlwm nquag).
Txhawm rau txheeb xyuas FritzFrog, cov kws tshawb fawb tau npaj ib qho yooj yim . Txhawm rau txiav txim siab qhov kev puas tsuaj
cov paib xws li muaj kev sib txuas ntawm kev mloog ntawm qhov chaw nres nkoj 1234, lub xub ntiag nyob rau hauv authorized_keys (tib yam SSH tus yuam sij yog ntsia rau ntawm tag nrho cov nodes) thiab lub xub ntiag nyob rau hauv lub cim xeeb ntawm kev khiav cov txheej txheem "ifconfig", "libexec", "php-fpm" thiab "nginx" uas tsis muaj txuam nrog executable ntaub ntawv ("/proc/ /exe" taw qhia rau cov ntaub ntawv tej thaj chaw deb). Ib qho kev kos npe kuj tuaj yeem yog qhov muaj tsheb khiav ntawm qhov chaw nres nkoj network 5555, uas tshwm sim thaum malware nkag mus rau lub pas dej li qub web.xmrpool.eu thaum lub sijhawm mining ntawm Monero cryptocurrency.
Tau qhov twg los: opennet.ru