Konpayi Guardicore, ki espesyalize nan pwoteksyon sant done ak sistèm nwaj yo, FritzFrog, yon nouvo malveyan gwo teknoloji ki atake serveurs ki baze sou Linux. FritzFrog konbine yon vè k'ap manje kadav ki gaye atravè yon atak bruteforce sou sèvè ak yon pò SSH louvri, ak konpozan yo bati yon botne desantralize ki opere san kontwòl nœuds epi ki pa gen okenn pwen sèl nan echèk.
Pou konstwi yon botne, yo itilize yon pwotokòl P2P propriétaires, kote nœuds kominike youn ak lòt, kowòdone òganizasyon atak, sipòte operasyon rezo a epi kontwole sitiyasyon youn ak lòt. Nouvo viktim yo jwenn lè yo fè yon atak bruteforce sou sèvè ki aksepte demann atravè SSH. Lè yo detekte yon nouvo sèvè, yo chèche yon diksyonè nan konbinezon tipik nan logins ak modpas. Kontwòl ka fèt atravè nenpòt ne, ki fè li difisil pou idantifye ak bloke operatè botne yo.
Dapre chèchè yo, botne a deja gen apeprè 500 nœuds, ki gen ladan sèvè yo nan plizyè inivèsite ak yon gwo konpayi tren. Li te note ke objektif prensipal yo nan atak la se rezo enstitisyon edikasyonèl, sant medikal, ajans gouvènman, bank ak konpayi telekominikasyon yo. Apre sèvè a konpwomèt, pwosesis la nan min Monero cryptocurrency òganize sou li. Aktivite malveyan an kesyon an te remonte depi janvye 2020.
Bagay espesyal sou FritzFrog se ke li kenbe tout done ak kòd ègzèkutabl sèlman nan memwa. Chanjman sou disk la se sèlman nan ajoute yon nouvo kle SSH nan fichye authorized_keys la, ki answit itilize pou jwenn aksè nan sèvè a. Dosye sistèm yo pa chanje, sa ki fè vè a envizib nan sistèm ki tcheke entegrite lè l sèvi avèk checksum. Memwa a tou estoke diksyonè pou modpas fòs ak done pou min, ki senkronize ant nœuds lè l sèvi avèk pwotokòl P2P la.
Konpozan move yo kamouflaj kòm ifconfig, libexec, php-fpm ak pwosesis nginx. Nœuds botnet kontwole estati vwazen yo epi, si sèvè a rekòmanse oswa menm eksplwatasyon an re-enstale (si yo te transfere yon dosye modifye authorized_keys nan nouvo sistèm nan), yo re-aktive konpozan move sou lame a. Pou kominikasyon, yo itilize SSH estanda - malveyan an plis lanse yon "netcat" lokal ki mare nan koòdone localhost la epi koute trafik sou pò 1234, ki gen aksè ekstèn nan yon tinèl SSH, lè l sèvi avèk yon kle ki soti nan authorized_keys konekte.
Kòd eleman FritzFrog la ekri nan Go ak kouri nan mòd milti-threaded. Malveyan an gen ladan plizyè modil ki kouri nan fil diferan:
- Cracker - rechèch pou modpas sou sèvè atake yo.
- CryptoComm + Parser - òganize yon koneksyon P2P chiffres.
- CastVotes se yon mekanis pou chwazi ansanm sib lame pou atak.
- TargetFeed - Resevwa yon lis nœuds pou atake nan men vwazen nœuds.
- DeployMgmt se yon aplikasyon yon vè k ap distribye move kòd sou yon sèvè konpwomèt.
- Posede - responsab pou konekte ak sèvè ki deja kouri kòd move.
- Rasanble - rasanble yon dosye nan memwa soti nan blòk separeman transfere.
- Antivir - yon modil pou siprime malveyan konpetisyon, idantifye ak mete fen nan pwosesis ak fisèl "xmr" ki konsome resous CPU.
- Libexec se yon modil pou min cryptocurrency Monero.
Pwotokòl P2P yo itilize nan FritzFrog sipòte apeprè 30 kòmandman ki responsab pou transfere done ant nœuds, kouri scripts, transfere konpozan malveyan, estati biwo vòt, echanj mòso bwa, lanse proxy, elatriye. Enfòmasyon yo transmèt sou yon kanal separe ki chiffres ak serializasyon nan fòma JSON. Chideraj itilize chifreman AES asimetri ak kodaj Base64. Pwotokòl DH yo itilize pou echanj kle (). Pou detèmine eta a, nœuds toujou ap chanje demann ping.
Tout nœuds botne yo kenbe yon baz done distribye ak enfòmasyon sou sistèm atake ak konpwomèt. Objektif atak yo senkronize atravè botne a - chak ne atake yon sib separe, i.e. de nœuds botne diferan pa pral atake menm lame a. Nœuds tou kolekte epi transmèt estatistik lokal yo bay vwazen, tankou gwosè memwa gratis, disponiblite, chaj CPU, ak aktivite koneksyon SSH. Enfòmasyon sa a yo itilize pou deside si yo kòmanse pwosesis min oswa itilize ne sèlman pou atake lòt sistèm (pa egzanp, min pa kòmanse sou sistèm chaje oswa sistèm ki gen koneksyon administratè souvan).
Pou idantifye FritzFrog, chèchè yo te pwopoze yon senp . Pou detèmine domaj nan sistèm lan
siy tankou prezans nan yon koneksyon koute sou pò 1234, prezans la nan authorized_keys (se menm kle SSH la enstale sou tout nœuds) ak prezans nan memwa nan kouri pwosesis "ifconfig", "libexec", "php-fpm" ak "nginx" ki pa gen dosye ègzèkutabl ki asosye ("/proc/ / exe" lonje dwèt sou yon dosye aleka). Yon siy kapab tou prezans nan trafik sou rezo pò 5555, ki rive lè malveyan jwenn aksè nan pisin tipik web.xmrpool.eu pandan min nan cryptocurrency Monero.
Sous: opennet.ru