Guardicore fyrirtæki sem sérhæfir sig í verndun gagnavera og skýjakerfa, FritzFrog, nýr hátækni spilliforrit sem ræðst á Linux-undirstaða netþjóna. FritzFrog sameinar orm sem dreifist í gegnum bruteforce árás á netþjóna með opnu SSH tengi og íhlutum til að byggja upp dreifð botnet sem starfar án stjórnunarhnúta og hefur engan bilunarpunkt.
Til að byggja upp botnet er sérsniðin P2P samskiptaregla notuð, þar sem hnútar hafa samskipti sín á milli, samræma skipulag árása, styðja við rekstur netsins og fylgjast með stöðu hvers annars. Ný fórnarlömb finnast með því að gera bruteforce árás á netþjóna sem samþykkja beiðnir í gegnum SSH. Þegar nýr netþjónn greinist er leitað í orðabók með dæmigerðum samsetningum innskráningar og lykilorða. Stjórnun er hægt að framkvæma í gegnum hvaða hnút sem er, sem gerir það erfitt að bera kennsl á og loka fyrir botnet rekstraraðila.
Samkvæmt vísindamönnum hefur botnetið nú þegar um 500 hnúta, þar á meðal netþjóna nokkurra háskóla og stórs járnbrautarfyrirtækis. Tekið er fram að helstu skotmörk árásarinnar eru net menntastofnana, læknamiðstöðva, ríkisstofnana, banka og fjarskiptafyrirtækja. Eftir að þjónninn er í hættu er ferlið við að vinna Monero dulritunargjaldmiðilinn skipulagt á honum. Virkni spilliforritsins sem um ræðir hefur verið rakin síðan í janúar 2020.
Það sérstaka við FritzFrog er að það geymir öll gögn og keyranlega kóða aðeins í minni. Breytingar á disknum felast eingöngu í því að bæta nýjum SSH lykli við authorized_keys skrána, sem síðan er notuð til að fá aðgang að þjóninum. Kerfisskrám er ekki breytt, sem gerir orminn ósýnilegan kerfum sem athuga heilleika með því að nota eftirlitssummur. Minnið geymir einnig orðabækur fyrir lykilorð sem þvinga sig fram og gögn fyrir námuvinnslu, sem eru samstillt á milli hnúta með P2P samskiptareglum.
Illgjarnir hlutir eru dulbúnir eins og ifconfig, libexec, php-fpm og nginx ferli. Botnet hnútar fylgjast með stöðu nágranna sinna og ef þjónninn er endurræstur eða jafnvel stýrikerfið er sett upp aftur (ef breytt authorized_keys skrá var flutt yfir í nýja kerfið), endurvirkja þeir skaðlega hluti á hýsilinn. Til samskipta er venjulegt SSH notað - spilliforritið setur að auki staðbundinn „netcat“ sem binst localhost viðmótinu og hlustar á umferð á höfn 1234, sem ytri gestgjafar fá aðgang að í gegnum SSH göng, með því að nota lykil frá authorized_keys til að tengjast.
FritzFrog íhlutakóði er skrifaður í Go og keyrir í fjölþráðum ham. Spilliforritið inniheldur nokkrar einingar sem keyra í mismunandi þræði:
- Cracker - leitar að lykilorðum á netþjónum sem ráðist er á.
- CryptoComm + Parser - skipuleggur dulkóðaða P2P tengingu.
- CastVotes er vélbúnaður til að velja sameiginlega miðhýsa fyrir árás.
- TargetFeed - Fær lista yfir hnúta til að ráðast á frá nálægum hnútum.
- DeployMgmt er útfærsla á ormi sem dreifir skaðlegum kóða til netþjóns sem er í hættu.
- Owned - ábyrgur fyrir tengingu við netþjóna sem eru þegar að keyra skaðlegan kóða.
- Setja saman - setur saman skrá í minni úr kubbum sem fluttar eru sérstaklega.
- Antivir - eining til að bæla samkeppnisspilliforrit, auðkennir og stöðvar ferli með strengnum „xmr“ sem eyðir CPU auðlindum.
- Libexec er eining fyrir námuvinnslu Monero dulritunargjaldmiðilsins.
P2P samskiptareglan sem notuð er í FritzFrog styður um 30 skipanir sem bera ábyrgð á að flytja gögn á milli hnúta, keyra forskriftir, flytja spilliforrit, stöðu skoðanaskipta, skiptast á annálum, ræsa umboð o.s.frv. Upplýsingar eru sendar yfir sérstaka dulkóðaða rás með raðgreiningu á JSON sniði. Dulkóðun notar ósamhverfan AES dulmál og Base64 kóðun. DH samskiptareglan er notuð fyrir lyklaskipti (). Til að ákvarða ástandið skiptast hnútar stöðugt á pingbeiðnum.
Allir botnet hnútar halda úti dreifðum gagnagrunni með upplýsingum um kerfi sem ráðist hefur verið á og kerfi í hættu. Árásarmarkmið eru samstillt um botnetið - hver hnútur ræðst á sérstakt skotmark, þ.e. tveir mismunandi botnet hnútar munu ekki ráðast á sama hýsilinn. Hnútar safna einnig og senda staðbundnar tölfræði til nágranna, svo sem ókeypis minnisstærð, spenntur, örgjörvaálag og SSH innskráningarvirkni. Þessar upplýsingar eru notaðar til að ákveða hvort hefja eigi námuvinnsluferlið eða nota hnútinn aðeins til að ráðast á önnur kerfi (td byrjar námuvinnsla ekki á hlaðnum kerfum eða kerfum með tíðar stjórnendatengingar).
Til að bera kennsl á FritzFrog hafa vísindamenn lagt til einfalt . Til að ákvarða skemmdir á kerfinu
merki eins og tilvist hlustunartengingar á tengi 1234, tilvist í authorized_keys (sami SSH lykill er settur upp á öllum hnútum) og tilvist í minni hlaupandi ferla „ifconfig“, „libexec“, „php-fpm“ og „nginx“ sem hafa ekki tengdar keyrsluskrár (“/proc/ /exe" bendir á ytri skrá). Merki getur einnig verið tilvist umferðar á netgátt 5555, sem á sér stað þegar spilliforrit fer inn á dæmigerða sundlaugina web.xmrpool.eu við námuvinnslu á Monero dulmálsgjaldmiðlinum.
Heimild: opennet.ru