Guardicore ընկերությունը, որը մասնագիտացած է տվյալների կենտրոնների և ամպային համակարգերի պաշտպանության մեջ, FritzFrog, նոր բարձր տեխնոլոգիական չարամիտ ծրագիր, որը հարձակվում է Linux-ի վրա հիմնված սերվերների վրա: FritzFrog-ը համատեղում է որդը, որը տարածվում է բիրտ ուժի հարձակման միջոցով բաց SSH պորտով սերվերների վրա, և բաղադրիչներ՝ ստեղծելու ապակենտրոնացված բոտնետ, որը գործում է առանց կառավարման հանգույցների և չունի ձախողման մեկ կետ:
Բոտնետ ստեղծելու համար օգտագործվում է սեփականության P2P արձանագրություն, որում հանգույցները փոխազդում են միմյանց հետ, համակարգում են հարձակումների կազմակերպումը, աջակցում են ցանցի աշխատանքին և վերահսկում միմյանց կարգավիճակը: Նոր զոհեր են հայտնաբերվում՝ դաժան հարձակման միջոցով սերվերների վրա, որոնք ընդունում են հարցումները SSH-ի միջոցով: Երբ հայտնաբերվում է նոր սերվեր, որոնվում է մուտքերի և գաղտնաբառերի բնորոշ համակցությունների բառարան: Վերահսկումը կարող է իրականացվել ցանկացած հանգույցի միջոցով, ինչը դժվարացնում է բոտնետների օպերատորների նույնականացումը և արգելափակումը:
Ըստ հետազոտողների՝ բոտնետն արդեն ունի մոտ 500 հանգույց, այդ թվում՝ մի քանի համալսարանների և երկաթուղային խոշոր ընկերության սերվերներ։ Նշվում է, որ հարձակման հիմնական թիրախները կրթական հաստատությունների, բժշկական կենտրոնների, պետական կառույցների, բանկերի և հեռահաղորդակցության ընկերությունների ցանցերն են։ Սերվերի վտանգի ենթարկվելուց հետո դրա վրա կազմակերպվում է Monero կրիպտոարժույթի մայնինգի գործընթացը: Խնդրո առարկա չարամիտ ծրագրի գործունեությունը հետագծվել է 2020 թվականի հունվարից:
FritzFrog-ի առանձնահատկությունն այն է, որ այն պահում է բոլոր տվյալները և գործարկվող կոդը միայն հիշողության մեջ: Սկավառակի փոփոխությունները բաղկացած են միայն նոր SSH բանալի ավելացնելով authorized_keys ֆայլին, որը հետագայում օգտագործվում է սերվեր մուտք գործելու համար: Համակարգի ֆայլերը չեն փոխվում, ինչը որդն անտեսանելի է դարձնում համակարգերի համար, որոնք ստուգում են ամբողջականությունը՝ օգտագործելով չեկային գումարներ: Հիշողությունը նաև պահում է բառարաններ կոպիտ գաղտնաբառերի և մայնինգի համար նախատեսված տվյալների համար, որոնք համաժամացվում են հանգույցների միջև՝ օգտագործելով P2P արձանագրությունը:
Վնասակար բաղադրիչները քողարկված են որպես ifconfig, libexec, php-fpm և nginx գործընթացներ: Botnet հանգույցները վերահսկում են իրենց հարևանների կարգավիճակը և, եթե սերվերը վերագործարկվի կամ նույնիսկ ՕՀ-ն նորից տեղադրվի (եթե փոփոխված authorized_keys ֆայլը փոխանցվել է նոր համակարգին), նրանք նորից ակտիվացնում են վնասակար բաղադրիչները հոսթի վրա: Հաղորդակցության համար օգտագործվում է ստանդարտ SSH. չարամիտ ծրագիրը լրացուցիչ գործարկում է տեղական «netcat», որը կապվում է localhost ինտերֆեյսի հետ և լսում է երթևեկությունը 1234 նավահանգստի վրա, որը արտաքին հոսթորդները մուտք են գործում SSH թունելի միջոցով՝ օգտագործելով authorized_keys-ի բանալին՝ միանալու համար:
FritzFrog բաղադրիչի կոդը գրված է Go-ում և աշխատում է բազմաշերտ ռեժիմով: Չարամիտ ծրագիրը ներառում է մի քանի մոդուլներ, որոնք աշխատում են տարբեր թեմաներով.
- Cracker - որոնում է գաղտնաբառերը հարձակման ենթարկված սերվերների վրա:
- CryptoComm + Parser - կազմակերպում է կոդավորված P2P կապ:
- CastVotes-ը հարձակման համար թիրախ հյուրընկալողներին համատեղ ընտրելու մեխանիզմ է:
- TargetFeed - Ստանում է հարևան հանգույցներից հարձակվելու հանգույցների ցանկ:
- DeployMgmt-ը ճիճու ներդրում է, որը վնասակար կոդ է տարածում վտանգված սերվերի վրա:
- Սեփականություն - պատասխանատու է սերվերներին միանալու համար, որոնք արդեն աշխատում են վնասակար կոդ:
- Հավաքեք - հավաքում է ֆայլ հիշողության մեջ առանձին փոխանցված բլոկներից:
- Antivir - մրցակցող չարամիտ ծրագրերը ճնշելու մոդուլ, որը նույնականացնում և դադարեցնում է գործընթացները «xmr» տողով, որոնք սպառում են պրոցեսորի ռեսուրսները:
- Libexec-ը Monero կրիպտոարժույթի մայնինգի մոդուլ է:
FritzFrog-ում օգտագործվող P2P արձանագրությունն աջակցում է մոտ 30 հրամաններ, որոնք պատասխանատու են հանգույցների միջև տվյալների փոխանցման, սկրիպտների գործարկման, չարամիտ բաղադրիչների փոխանցման, հարցման կարգավիճակի, տեղեկամատյանների փոխանակման, վստահված անձանց գործարկման և այլն: Տեղեկատվությունը փոխանցվում է առանձին կոդավորված ալիքով՝ սերիալիզացիայով JSON ձևաչափով: Կոդավորումը օգտագործում է ասիմետրիկ AES ծածկագիրը և Base64 կոդավորումը: DH արձանագրությունն օգտագործվում է բանալիների փոխանակման համար (). Վիճակը որոշելու համար հանգույցները մշտապես փոխանակում են ping հարցումները:
Բոլոր botnet հանգույցները պահպանում են բաշխված տվյալների բազա՝ հարձակման ենթարկված և վտանգված համակարգերի մասին տեղեկություններով: Հարձակման թիրախները համաժամանակացվում են բոտնետում. յուրաքանչյուր հանգույց հարձակվում է առանձին թիրախի վրա, այսինքն. երկու տարբեր բոտնետի հանգույցներ չեն հարձակվի նույն հյուրընկալողի վրա: Հանգույցները նաև հավաքում և փոխանցում են տեղական վիճակագրությունը հարևաններին, ինչպիսիք են ազատ հիշողության չափը, գործարկման ժամանակը, պրոցեսորի բեռնվածությունը և SSH մուտքի ակտիվությունը: Այս տեղեկատվությունը օգտագործվում է որոշելու համար՝ սկսել մայնինգ գործընթացը, թե օգտագործել հանգույցը միայն այլ համակարգերի վրա հարձակվելու համար (օրինակ՝ մայնինգը չի սկսվում բեռնված համակարգերում կամ հաճախակի ադմինիստրատորի միացումներով համակարգերում):
FritzFrog-ին բացահայտելու համար հետազոտողները առաջարկել են պարզ . Համակարգի վնասը որոշելու համար
նշաններ, ինչպիսիք են 1234 նավահանգստում լսողական կապի առկայությունը, առկայությունը autorized_keys-ում (նույն SSH ստեղնը տեղադրված է բոլոր հանգույցներում) և առկա «ifconfig», «libexec», «php-fpm» և «nginx» գործող գործընթացների հիշողության մեջ, որոնք չունեն հարակից գործարկվող ֆայլեր («/proc/ /exe» ցույց է տալիս հեռավոր ֆայլ): Նշան կարող է լինել նաև ցանցի 5555 նավահանգստի վրա տրաֆիկի առկայությունը, որը տեղի է ունենում, երբ չարամիտ ծրագիրը մուտք է գործում տիպիկ լողավազան web.xmrpool.eu Monero կրիպտոարժույթի մայնինգի ժամանակ:
Source: opennet.ru