Perusahaan Guardicore, khusus kanggo nglindhungi pusat data lan sistem awan, FritzFrog, malware berteknologi tinggi anyar sing nyerang server basis Linux. FritzFrog nggabungke cacing sing nyebar liwat serangan bruteforce ing server karo port SSH mbukak, lan komponen kanggo mbangun botnet desentralisasi sing makaryakke tanpa kelenjar kontrol lan ora ana titik gagal.
Kanggo mbangun botnet, protokol P2P proprietary digunakake, ing ngendi simpul sesambungan karo siji liyane, koordinasi organisasi serangan, ndhukung operasi jaringan lan ngawasi status saben liyane. Korban anyar ditemokake kanthi nindakake serangan bruteforce ing server sing nampa panjalukan liwat SSH. Nalika server anyar dideteksi, kamus kombinasi khas login lan sandhi ditelusuri. Kontrol bisa ditindakake liwat simpul apa wae, sing ndadekake angel kanggo ngenali lan mblokir operator botnet.
Miturut peneliti, botnet wis duwe sekitar 500 simpul, kalebu server sawetara universitas lan perusahaan sepur gedhe. Kacathet yen target utama serangan kasebut yaiku jaringan institusi pendidikan, pusat medis, lembaga pemerintah, bank lan perusahaan telekomunikasi. Sawise server dikompromi, proses pertambangan cryptocurrency Monero diatur. Aktivitas malware kasebut wis dilacak wiwit Januari 2020.
Babagan khusus babagan FritzFrog yaiku nyimpen kabeh data lan kode eksekusi mung ing memori. Owah-owahan ing disk mung kalebu nambahake kunci SSH anyar menyang file authorized_keys, sing banjur digunakake kanggo ngakses server. File sistem ora diganti, sing ndadekake worm ora katon kanggo sistem sing mriksa integritas nggunakake checksums. Memori uga nyimpen kamus kanggo tembung sandhi sing meksa kasar lan data kanggo pertambangan, sing disinkronake ing antarane simpul nggunakake protokol P2P.
Komponen jahat disamarake minangka proses ifconfig, libexec, php-fpm lan nginx. Kelenjar botnet ngawasi status tanggane lan, yen server reboot utawa malah OS diinstal maneh (yen file authorized_keys sing diowahi ditransfer menyang sistem anyar), dheweke ngaktifake maneh komponen jahat ing host. Kanggo komunikasi, SSH standar digunakake - malware uga ngluncurake "netcat" lokal sing nyambung menyang antarmuka localhost lan ngrungokake lalu lintas ing port 1234, sing diakses host eksternal liwat trowongan SSH, nggunakake tombol saka authorized_keys kanggo nyambung.
Kode komponen FritzFrog ditulis ing Go lan mlaku ing mode multi-threaded. Malware kalebu sawetara modul sing mlaku ing macem-macem utas:
- Cracker - nggoleki sandhi ing server sing diserang.
- CryptoComm + Parser - ngatur sambungan P2P sing dienkripsi.
- CastVotes minangka mekanisme kanggo milih host target kanggo nyerang.
- TargetFeed - Nampa dhaptar simpul kanggo nyerang saka kelenjar tetanggan.
- DeployMgmt minangka implementasi saka worm sing nyebarake kode jahat menyang server sing dikompromi.
- Diduweni - tanggung jawab kanggo nyambung menyang server sing wis mbukak kode angkoro.
- Ngumpul - nglumpukake file ing memori saka blok sing ditransfer kanthi kapisah.
- Antivir - modul kanggo nyegah malware saingan, ngenali lan mungkasi proses kanthi senar "xmr" sing nggunakake sumber daya CPU.
- Libexec minangka modul kanggo pertambangan cryptocurrency Monero.
Protokol P2P sing digunakake ing FritzFrog ndhukung babagan 30 printah sing tanggung jawab kanggo nransfer data ing antarane simpul, skrip sing mlaku, nransfer komponen malware, status polling, ijol-ijolan log, ngluncurake proxy, lsp. Informasi dikirim liwat saluran ndhelik sing kapisah kanthi serialisasi ing format JSON. Enkripsi nggunakake cipher AES asimetris lan enkoding Base64. Protokol DH digunakake kanggo ijol-ijolan kunci (). Kanggo nemtokake negara, simpul terus-terusan ngganti panjaluk ping.
Kabeh simpul botnet njaga basis data sing disebarake kanthi informasi babagan sistem sing diserang lan dikompromi. Target serangan disinkronake ing saindhenging botnet - saben simpul nyerang target sing kapisah, yaiku. rong simpul botnet sing beda ora bakal nyerang host sing padha. Node uga ngumpulake lan ngirim statistik lokal menyang tanggane, kayata ukuran memori gratis, wektu aktif, beban CPU, lan aktivitas login SSH. Informasi iki digunakake kanggo mutusake apa arep miwiti proses pertambangan utawa nggunakake simpul mung kanggo nyerang sistem liyane (contone, pertambangan ora diwiwiti ing sistem sing dimuat utawa sistem kanthi sambungan administrator sing kerep).
Kanggo ngenali FritzFrog, peneliti wis ngusulake prasaja . Kanggo nemtokake karusakan sistem
pratandha kayata ngarsane sambungan ngrungokake ing port 1234, ngarsane ing authorized_keys (tombol SSH sing padha diinstal ing kabeh simpul) lan ana ing memori proses mlaku "ifconfig", "libexec", "php-fpm" lan "nginx" sing ora duwe file eksekusi sing gegandhengan ("/proc/ /exe" nuding menyang file remot). Tandha bisa uga ana lalu lintas ing port jaringan 5555, sing kedadeyan nalika malware ngakses web.xmrpool.eu blumbang khas nalika pertambangan cryptocurrency Monero.
Source: opennet.ru