ಫ್ರಿಟ್ಜ್ ಫ್ರಾಗ್ ವರ್ಮ್ ಅನ್ನು ಗುರುತಿಸಲಾಗಿದೆ, SSH ಮೂಲಕ ಸರ್ವರ್‌ಗಳಿಗೆ ಸೋಂಕು ತಗುಲಿಸುತ್ತದೆ ಮತ್ತು ವಿಕೇಂದ್ರೀಕೃತ ಬೋಟ್ನೆಟ್ ಅನ್ನು ನಿರ್ಮಿಸುತ್ತದೆ

ದತ್ತಾಂಶ ಕೇಂದ್ರಗಳು ಮತ್ತು ಕ್ಲೌಡ್ ಸಿಸ್ಟಮ್‌ಗಳ ರಕ್ಷಣೆಯಲ್ಲಿ ಪರಿಣತಿ ಹೊಂದಿರುವ ಗಾರ್ಡಿಕೋರ್ ಕಂಪನಿ, ಬಹಿರಂಗವಾಯಿತು FritzFrog, Linux-ಆಧಾರಿತ ಸರ್ವರ್‌ಗಳ ಮೇಲೆ ದಾಳಿ ಮಾಡುವ ಹೊಸ ಹೈಟೆಕ್ ಮಾಲ್‌ವೇರ್. FritzFrog ತೆರೆದ SSH ಪೋರ್ಟ್‌ನೊಂದಿಗೆ ಸರ್ವರ್‌ಗಳ ಮೇಲೆ ಬ್ರೂಟ್‌ಫೋರ್ಸ್ ದಾಳಿಯ ಮೂಲಕ ಹರಡುವ ವರ್ಮ್ ಅನ್ನು ಸಂಯೋಜಿಸುತ್ತದೆ ಮತ್ತು ಕಂಟ್ರೋಲ್ ನೋಡ್‌ಗಳಿಲ್ಲದೆ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಮತ್ತು ಯಾವುದೇ ವೈಫಲ್ಯದ ಬಿಂದುವನ್ನು ಹೊಂದಿರದ ವಿಕೇಂದ್ರೀಕೃತ ಬೋಟ್‌ನೆಟ್ ಅನ್ನು ನಿರ್ಮಿಸಲು ಘಟಕಗಳನ್ನು ಸಂಯೋಜಿಸುತ್ತದೆ.

ಬೋಟ್ನೆಟ್ ಅನ್ನು ನಿರ್ಮಿಸಲು, ಸ್ವಾಮ್ಯದ P2P ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದರಲ್ಲಿ ನೋಡ್ಗಳು ಪರಸ್ಪರ ಸಂವಹನ ನಡೆಸುತ್ತವೆ, ದಾಳಿಗಳ ಸಂಘಟನೆಯನ್ನು ಸಂಘಟಿಸುತ್ತದೆ, ನೆಟ್ವರ್ಕ್ನ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ ಮತ್ತು ಪರಸ್ಪರ ಸ್ಥಿತಿಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತದೆ. SSH ಮೂಲಕ ವಿನಂತಿಗಳನ್ನು ಸ್ವೀಕರಿಸುವ ಸರ್ವರ್‌ಗಳ ಮೇಲೆ ಬ್ರೂಟ್‌ಫೋರ್ಸ್ ದಾಳಿಯನ್ನು ನಡೆಸುವ ಮೂಲಕ ಹೊಸ ಬಲಿಪಶುಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲಾಗುತ್ತದೆ. ಹೊಸ ಸರ್ವರ್ ಪತ್ತೆಯಾದಾಗ, ಲಾಗಿನ್‌ಗಳು ಮತ್ತು ಪಾಸ್‌ವರ್ಡ್‌ಗಳ ವಿಶಿಷ್ಟ ಸಂಯೋಜನೆಗಳ ನಿಘಂಟನ್ನು ಹುಡುಕಲಾಗುತ್ತದೆ. ಯಾವುದೇ ನೋಡ್ ಮೂಲಕ ನಿಯಂತ್ರಣವನ್ನು ಕೈಗೊಳ್ಳಬಹುದು, ಇದು ಬೋಟ್ನೆಟ್ ಆಪರೇಟರ್‌ಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ನಿರ್ಬಂಧಿಸಲು ಕಷ್ಟವಾಗುತ್ತದೆ.

ಸಂಶೋಧಕರ ಪ್ರಕಾರ, ಬೋಟ್ನೆಟ್ ಈಗಾಗಲೇ ಹಲವಾರು ವಿಶ್ವವಿದ್ಯಾನಿಲಯಗಳ ಸರ್ವರ್ಗಳು ಮತ್ತು ದೊಡ್ಡ ರೈಲ್ವೆ ಕಂಪನಿ ಸೇರಿದಂತೆ ಸುಮಾರು 500 ನೋಡ್ಗಳನ್ನು ಹೊಂದಿದೆ. ಶೈಕ್ಷಣಿಕ ಸಂಸ್ಥೆಗಳು, ವೈದ್ಯಕೀಯ ಕೇಂದ್ರಗಳು, ಸರ್ಕಾರಿ ಸಂಸ್ಥೆಗಳು, ಬ್ಯಾಂಕ್‌ಗಳು ಮತ್ತು ದೂರಸಂಪರ್ಕ ಕಂಪನಿಗಳ ಜಾಲಗಳು ದಾಳಿಯ ಪ್ರಮುಖ ಗುರಿಗಳಾಗಿವೆ ಎಂದು ಗಮನಿಸಲಾಗಿದೆ. ಸರ್ವರ್ ರಾಜಿ ಮಾಡಿಕೊಂಡ ನಂತರ, ಮೊನೆರೊ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿಯನ್ನು ಗಣಿಗಾರಿಕೆ ಮಾಡುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಅದರ ಮೇಲೆ ಆಯೋಜಿಸಲಾಗಿದೆ. ಪ್ರಶ್ನೆಯಲ್ಲಿರುವ ಮಾಲ್‌ವೇರ್‌ನ ಚಟುವಟಿಕೆಯನ್ನು ಜನವರಿ 2020 ರಿಂದ ಪತ್ತೆಹಚ್ಚಲಾಗಿದೆ.

ಫ್ರಿಟ್ಜ್‌ಫ್ರಾಗ್‌ನ ವಿಶೇಷ ವಿಷಯವೆಂದರೆ ಅದು ಎಲ್ಲಾ ಡೇಟಾ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಕೋಡ್ ಅನ್ನು ಮೆಮೊರಿಯಲ್ಲಿ ಮಾತ್ರ ಇರಿಸುತ್ತದೆ. ಡಿಸ್ಕ್‌ನಲ್ಲಿನ ಬದಲಾವಣೆಗಳು ಅಧಿಕೃತ_ಕೀಸ್ ಫೈಲ್‌ಗೆ ಹೊಸ SSH ಕೀಯನ್ನು ಸೇರಿಸುವುದನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿರುತ್ತವೆ, ಅದನ್ನು ನಂತರ ಸರ್ವರ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಸಿಸ್ಟಮ್ ಫೈಲ್‌ಗಳನ್ನು ಬದಲಾಯಿಸಲಾಗಿಲ್ಲ, ಇದು ಚೆಕ್‌ಸಮ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸಮಗ್ರತೆಯನ್ನು ಪರಿಶೀಲಿಸುವ ವ್ಯವಸ್ಥೆಗಳಿಗೆ ವರ್ಮ್ ಅನ್ನು ಅಗೋಚರವಾಗಿಸುತ್ತದೆ. ಮೆಮೊರಿಯು ಬ್ರೂಟ್-ಫೋರ್ಸಿಂಗ್ ಪಾಸ್‌ವರ್ಡ್‌ಗಳಿಗಾಗಿ ಡಿಕ್ಷನರಿಗಳನ್ನು ಮತ್ತು ಗಣಿಗಾರಿಕೆಗಾಗಿ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ, ಇವುಗಳನ್ನು P2P ಪ್ರೋಟೋಕಾಲ್ ಬಳಸಿ ನೋಡ್‌ಗಳ ನಡುವೆ ಸಿಂಕ್ರೊನೈಸ್ ಮಾಡಲಾಗುತ್ತದೆ.

ದುರುದ್ದೇಶಪೂರಿತ ಘಟಕಗಳನ್ನು ifconfig, libexec, php-fpm ಮತ್ತು nginx ಪ್ರಕ್ರಿಯೆಗಳಂತೆ ಮರೆಮಾಚಲಾಗುತ್ತದೆ. ಬಾಟ್ನೆಟ್ ನೋಡ್‌ಗಳು ತಮ್ಮ ನೆರೆಹೊರೆಯವರ ಸ್ಥಿತಿಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತವೆ ಮತ್ತು ಸರ್ವರ್ ಅನ್ನು ರೀಬೂಟ್ ಮಾಡಿದರೆ ಅಥವಾ OS ಅನ್ನು ಮರುಸ್ಥಾಪಿಸಿದರೆ (ಮಾರ್ಪಡಿಸಿದ ಅಧಿಕೃತ_ಕೀಗಳ ಫೈಲ್ ಅನ್ನು ಹೊಸ ಸಿಸ್ಟಮ್‌ಗೆ ವರ್ಗಾಯಿಸಿದ್ದರೆ), ಅವು ಹೋಸ್ಟ್‌ನಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಘಟಕಗಳನ್ನು ಮರು-ಸಕ್ರಿಯಗೊಳಿಸುತ್ತವೆ. ಸಂವಹನಕ್ಕಾಗಿ, ಪ್ರಮಾಣಿತ SSH ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ - ಮಾಲ್‌ವೇರ್ ಹೆಚ್ಚುವರಿಯಾಗಿ ಸ್ಥಳೀಯ "ನೆಟ್‌ಕ್ಯಾಟ್" ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ ಅದು ಸ್ಥಳೀಯ ಹೋಸ್ಟ್ ಇಂಟರ್‌ಫೇಸ್‌ಗೆ ಬಂಧಿಸುತ್ತದೆ ಮತ್ತು ಪೋರ್ಟ್ 1234 ನಲ್ಲಿ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಆಲಿಸುತ್ತದೆ, ಇದು SSH ಸುರಂಗದ ಮೂಲಕ ಪ್ರವೇಶವನ್ನು ಬಾಹ್ಯ ಹೋಸ್ಟ್ ಮಾಡುತ್ತದೆ, ಸಂಪರ್ಕಿಸಲು ಅಧಿಕೃತ_ಕೀಗಳಿಂದ ಕೀಲಿಯನ್ನು ಬಳಸುತ್ತದೆ.

FritzFrog ಕಾಂಪೊನೆಂಟ್ ಕೋಡ್ ಅನ್ನು Go ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು ಮಲ್ಟಿ-ಥ್ರೆಡ್ ಮೋಡ್‌ನಲ್ಲಿ ರನ್ ಆಗುತ್ತದೆ. ಮಾಲ್ವೇರ್ ವಿವಿಧ ಥ್ರೆಡ್‌ಗಳಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಹಲವಾರು ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ಒಳಗೊಂಡಿದೆ:

• ಕ್ರ್ಯಾಕರ್ - ದಾಳಿಗೊಳಗಾದ ಸರ್ವರ್‌ಗಳಲ್ಲಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಹುಡುಕುತ್ತದೆ.
• ಕ್ರಿಪ್ಟೋಕಾಮ್ + ಪಾರ್ಸರ್ - ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ P2P ಸಂಪರ್ಕವನ್ನು ಆಯೋಜಿಸುತ್ತದೆ.
• CastVotes ದಾಳಿಗೆ ಗುರಿ ಹೋಸ್ಟ್‌ಗಳನ್ನು ಜಂಟಿಯಾಗಿ ಆಯ್ಕೆಮಾಡುವ ಒಂದು ಕಾರ್ಯವಿಧಾನವಾಗಿದೆ.
• TargetFeed - ನೆರೆಯ ನೋಡ್‌ಗಳಿಂದ ದಾಳಿ ಮಾಡಲು ನೋಡ್‌ಗಳ ಪಟ್ಟಿಯನ್ನು ಪಡೆಯುತ್ತದೆ.
• DeployMgmt ಎನ್ನುವುದು ವರ್ಮ್‌ನ ಅನುಷ್ಠಾನವಾಗಿದ್ದು ಅದು ರಾಜಿ ಮಾಡಿಕೊಂಡ ಸರ್ವರ್‌ಗೆ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ವಿತರಿಸುತ್ತದೆ.
• ಮಾಲೀಕತ್ವದಲ್ಲಿದೆ - ಈಗಾಗಲೇ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಚಾಲನೆಯಲ್ಲಿರುವ ಸರ್ವರ್‌ಗಳಿಗೆ ಸಂಪರ್ಕಿಸಲು ಜವಾಬ್ದಾರಿ.
• ಜೋಡಿಸು - ಪ್ರತ್ಯೇಕವಾಗಿ ವರ್ಗಾಯಿಸಲಾದ ಬ್ಲಾಕ್‌ಗಳಿಂದ ಮೆಮೊರಿಯಲ್ಲಿ ಫೈಲ್ ಅನ್ನು ಜೋಡಿಸುತ್ತದೆ.
• Antivir - ಸ್ಪರ್ಧಾತ್ಮಕ ಮಾಲ್ವೇರ್ ಅನ್ನು ನಿಗ್ರಹಿಸುವ ಮಾಡ್ಯೂಲ್, CPU ಸಂಪನ್ಮೂಲಗಳನ್ನು ಸೇವಿಸುವ "xmr" ಸ್ಟ್ರಿಂಗ್ನೊಂದಿಗೆ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಗುರುತಿಸುತ್ತದೆ ಮತ್ತು ಕೊನೆಗೊಳಿಸುತ್ತದೆ.
• ಲಿಬೆಕ್ಸೆಕ್ ಮೊನೆರೊ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿಯನ್ನು ಗಣಿಗಾರಿಕೆ ಮಾಡಲು ಮಾಡ್ಯೂಲ್ ಆಗಿದೆ.

ಫ್ರಿಟ್ಜ್‌ಫ್ರಾಗ್‌ನಲ್ಲಿ ಬಳಸಲಾದ P2P ಪ್ರೋಟೋಕಾಲ್ ನೋಡ್‌ಗಳ ನಡುವೆ ಡೇಟಾವನ್ನು ವರ್ಗಾಯಿಸಲು, ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಚಲಾಯಿಸಲು, ಮಾಲ್‌ವೇರ್ ಘಟಕಗಳನ್ನು ವರ್ಗಾಯಿಸಲು, ಮತದಾನದ ಸ್ಥಿತಿ, ಲಾಗ್‌ಗಳನ್ನು ವಿನಿಮಯ ಮಾಡಿಕೊಳ್ಳಲು, ಪ್ರಾಕ್ಸಿಗಳನ್ನು ಪ್ರಾರಂಭಿಸಲು ಇತ್ಯಾದಿಗಳಿಗೆ ಜವಾಬ್ದಾರರಾಗಿರುವ ಸುಮಾರು 30 ಆಜ್ಞೆಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ. JSON ಫಾರ್ಮ್ಯಾಟ್‌ನಲ್ಲಿ ಧಾರಾವಾಹಿಯೊಂದಿಗೆ ಪ್ರತ್ಯೇಕ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಚಾನಲ್‌ನಲ್ಲಿ ಮಾಹಿತಿಯನ್ನು ರವಾನಿಸಲಾಗುತ್ತದೆ. ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅಸಮ್ಮಿತ AES ಸೈಫರ್ ಮತ್ತು Base64 ಎನ್‌ಕೋಡಿಂಗ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. DH ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಕೀ ವಿನಿಮಯಕ್ಕಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ (ಡಿಫಿ-ಹೆಲ್ಮನ್) ಸ್ಥಿತಿಯನ್ನು ನಿರ್ಧರಿಸಲು, ನೋಡ್ಗಳು ನಿರಂತರವಾಗಿ ಪಿಂಗ್ ವಿನಂತಿಗಳನ್ನು ವಿನಿಮಯ ಮಾಡಿಕೊಳ್ಳುತ್ತವೆ.

ಎಲ್ಲಾ ಬಾಟ್ನೆಟ್ ನೋಡ್‌ಗಳು ದಾಳಿಗೊಳಗಾದ ಮತ್ತು ರಾಜಿ ಮಾಡಿಕೊಂಡ ಸಿಸ್ಟಮ್‌ಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯೊಂದಿಗೆ ವಿತರಿಸಿದ ಡೇಟಾಬೇಸ್ ಅನ್ನು ನಿರ್ವಹಿಸುತ್ತವೆ. ಬಾಟ್ನೆಟ್‌ನಾದ್ಯಂತ ದಾಳಿ ಗುರಿಗಳನ್ನು ಸಿಂಕ್ರೊನೈಸ್ ಮಾಡಲಾಗುತ್ತದೆ - ಪ್ರತಿ ನೋಡ್ ಪ್ರತ್ಯೇಕ ಗುರಿಯ ಮೇಲೆ ದಾಳಿ ಮಾಡುತ್ತದೆ, ಅಂದರೆ. ಎರಡು ವಿಭಿನ್ನ ಬೋಟ್ನೆಟ್ ನೋಡ್‌ಗಳು ಒಂದೇ ಹೋಸ್ಟ್ ಮೇಲೆ ದಾಳಿ ಮಾಡುವುದಿಲ್ಲ. ನೋಡ್‌ಗಳು ಸ್ಥಳೀಯ ಅಂಕಿಅಂಶಗಳನ್ನು ಸಂಗ್ರಹಿಸುತ್ತವೆ ಮತ್ತು ರವಾನಿಸುತ್ತವೆ, ಉದಾಹರಣೆಗೆ ಉಚಿತ ಮೆಮೊರಿ ಗಾತ್ರ, ಅಪ್‌ಟೈಮ್, CPU ಲೋಡ್ ಮತ್ತು SSH ಲಾಗಿನ್ ಚಟುವಟಿಕೆ. ಗಣಿಗಾರಿಕೆ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಾರಂಭಿಸಬೇಕೆ ಅಥವಾ ಇತರ ಸಿಸ್ಟಮ್‌ಗಳ ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ನೋಡ್ ಅನ್ನು ಬಳಸಬೇಕೆ ಎಂದು ನಿರ್ಧರಿಸಲು ಈ ಮಾಹಿತಿಯನ್ನು ಬಳಸಲಾಗುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ಗಣಿಗಾರಿಕೆಯು ಲೋಡ್ ಮಾಡಲಾದ ಸಿಸ್ಟಮ್‌ಗಳು ಅಥವಾ ಆಗಾಗ್ಗೆ ನಿರ್ವಾಹಕ ಸಂಪರ್ಕಗಳೊಂದಿಗೆ ಸಿಸ್ಟಮ್‌ಗಳಲ್ಲಿ ಪ್ರಾರಂಭವಾಗುವುದಿಲ್ಲ).

ಫ್ರಿಟ್ಜ್ ಫ್ರಾಗ್ ಅನ್ನು ಗುರುತಿಸಲು, ಸಂಶೋಧಕರು ಸರಳವಾದದನ್ನು ಪ್ರಸ್ತಾಪಿಸಿದ್ದಾರೆ ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್. ಸಿಸ್ಟಮ್ ಹಾನಿಯನ್ನು ನಿರ್ಧರಿಸಲು
ಪೋರ್ಟ್ 1234 ನಲ್ಲಿ ಆಲಿಸುವ ಸಂಪರ್ಕದ ಉಪಸ್ಥಿತಿ, ಉಪಸ್ಥಿತಿಯಂತಹ ಚಿಹ್ನೆಗಳು ದುರುದ್ದೇಶಪೂರಿತ ಕೀ authorized_keys ನಲ್ಲಿ (ಎಲ್ಲಾ ನೋಡ್‌ಗಳಲ್ಲಿ ಅದೇ SSH ಕೀಲಿಯನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ) ಮತ್ತು ಸಂಯೋಜಿತ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ಗಳನ್ನು ಹೊಂದಿರದ "ifconfig", "libexec", "php-fpm" ಮತ್ತು "nginx" ಚಾಲನೆಯಲ್ಲಿರುವ ಪ್ರಕ್ರಿಯೆಗಳ ಸ್ಮರಣೆಯಲ್ಲಿ ಉಪಸ್ಥಿತಿ ("/proc/ /exe" ರಿಮೋಟ್ ಫೈಲ್ ಅನ್ನು ಸೂಚಿಸುತ್ತದೆ). ಒಂದು ಚಿಹ್ನೆಯು ನೆಟ್‌ವರ್ಕ್ ಪೋರ್ಟ್ 5555 ನಲ್ಲಿ ಟ್ರಾಫಿಕ್‌ನ ಉಪಸ್ಥಿತಿಯಾಗಿರಬಹುದು, ಇದು ಮಾಲ್‌ವೇರ್ ವಿಶಿಷ್ಟವಾದ ಪೂಲ್ web.xmrpool.eu ಅನ್ನು ಮೊನೆರೊ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿಯ ಗಣಿಗಾರಿಕೆಯ ಸಮಯದಲ್ಲಿ ಪ್ರವೇಶಿಸಿದಾಗ ಸಂಭವಿಸುತ್ತದೆ.

ಮೂಲ: opennet.ru