ದತ್ತಾಂಶ ಕೇಂದ್ರಗಳು ಮತ್ತು ಕ್ಲೌಡ್ ಸಿಸ್ಟಮ್ಗಳ ರಕ್ಷಣೆಯಲ್ಲಿ ಪರಿಣತಿ ಹೊಂದಿರುವ ಗಾರ್ಡಿಕೋರ್ ಕಂಪನಿ,
ಬೋಟ್ನೆಟ್ ಅನ್ನು ನಿರ್ಮಿಸಲು, ಸ್ವಾಮ್ಯದ P2P ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದರಲ್ಲಿ ನೋಡ್ಗಳು ಪರಸ್ಪರ ಸಂವಹನ ನಡೆಸುತ್ತವೆ, ದಾಳಿಗಳ ಸಂಘಟನೆಯನ್ನು ಸಂಘಟಿಸುತ್ತದೆ, ನೆಟ್ವರ್ಕ್ನ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ ಮತ್ತು ಪರಸ್ಪರ ಸ್ಥಿತಿಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತದೆ. SSH ಮೂಲಕ ವಿನಂತಿಗಳನ್ನು ಸ್ವೀಕರಿಸುವ ಸರ್ವರ್ಗಳ ಮೇಲೆ ಬ್ರೂಟ್ಫೋರ್ಸ್ ದಾಳಿಯನ್ನು ನಡೆಸುವ ಮೂಲಕ ಹೊಸ ಬಲಿಪಶುಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲಾಗುತ್ತದೆ. ಹೊಸ ಸರ್ವರ್ ಪತ್ತೆಯಾದಾಗ, ಲಾಗಿನ್ಗಳು ಮತ್ತು ಪಾಸ್ವರ್ಡ್ಗಳ ವಿಶಿಷ್ಟ ಸಂಯೋಜನೆಗಳ ನಿಘಂಟನ್ನು ಹುಡುಕಲಾಗುತ್ತದೆ. ಯಾವುದೇ ನೋಡ್ ಮೂಲಕ ನಿಯಂತ್ರಣವನ್ನು ಕೈಗೊಳ್ಳಬಹುದು, ಇದು ಬೋಟ್ನೆಟ್ ಆಪರೇಟರ್ಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ನಿರ್ಬಂಧಿಸಲು ಕಷ್ಟವಾಗುತ್ತದೆ.
ಸಂಶೋಧಕರ ಪ್ರಕಾರ, ಬೋಟ್ನೆಟ್ ಈಗಾಗಲೇ ಹಲವಾರು ವಿಶ್ವವಿದ್ಯಾನಿಲಯಗಳ ಸರ್ವರ್ಗಳು ಮತ್ತು ದೊಡ್ಡ ರೈಲ್ವೆ ಕಂಪನಿ ಸೇರಿದಂತೆ ಸುಮಾರು 500 ನೋಡ್ಗಳನ್ನು ಹೊಂದಿದೆ. ಶೈಕ್ಷಣಿಕ ಸಂಸ್ಥೆಗಳು, ವೈದ್ಯಕೀಯ ಕೇಂದ್ರಗಳು, ಸರ್ಕಾರಿ ಸಂಸ್ಥೆಗಳು, ಬ್ಯಾಂಕ್ಗಳು ಮತ್ತು ದೂರಸಂಪರ್ಕ ಕಂಪನಿಗಳ ಜಾಲಗಳು ದಾಳಿಯ ಪ್ರಮುಖ ಗುರಿಗಳಾಗಿವೆ ಎಂದು ಗಮನಿಸಲಾಗಿದೆ. ಸರ್ವರ್ ರಾಜಿ ಮಾಡಿಕೊಂಡ ನಂತರ, ಮೊನೆರೊ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿಯನ್ನು ಗಣಿಗಾರಿಕೆ ಮಾಡುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಅದರ ಮೇಲೆ ಆಯೋಜಿಸಲಾಗಿದೆ. ಪ್ರಶ್ನೆಯಲ್ಲಿರುವ ಮಾಲ್ವೇರ್ನ ಚಟುವಟಿಕೆಯನ್ನು ಜನವರಿ 2020 ರಿಂದ ಪತ್ತೆಹಚ್ಚಲಾಗಿದೆ.
ಫ್ರಿಟ್ಜ್ಫ್ರಾಗ್ನ ವಿಶೇಷ ವಿಷಯವೆಂದರೆ ಅದು ಎಲ್ಲಾ ಡೇಟಾ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಕೋಡ್ ಅನ್ನು ಮೆಮೊರಿಯಲ್ಲಿ ಮಾತ್ರ ಇರಿಸುತ್ತದೆ. ಡಿಸ್ಕ್ನಲ್ಲಿನ ಬದಲಾವಣೆಗಳು ಅಧಿಕೃತ_ಕೀಸ್ ಫೈಲ್ಗೆ ಹೊಸ SSH ಕೀಯನ್ನು ಸೇರಿಸುವುದನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿರುತ್ತವೆ, ಅದನ್ನು ನಂತರ ಸರ್ವರ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಸಿಸ್ಟಮ್ ಫೈಲ್ಗಳನ್ನು ಬದಲಾಯಿಸಲಾಗಿಲ್ಲ, ಇದು ಚೆಕ್ಸಮ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸಮಗ್ರತೆಯನ್ನು ಪರಿಶೀಲಿಸುವ ವ್ಯವಸ್ಥೆಗಳಿಗೆ ವರ್ಮ್ ಅನ್ನು ಅಗೋಚರವಾಗಿಸುತ್ತದೆ. ಮೆಮೊರಿಯು ಬ್ರೂಟ್-ಫೋರ್ಸಿಂಗ್ ಪಾಸ್ವರ್ಡ್ಗಳಿಗಾಗಿ ಡಿಕ್ಷನರಿಗಳನ್ನು ಮತ್ತು ಗಣಿಗಾರಿಕೆಗಾಗಿ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ, ಇವುಗಳನ್ನು P2P ಪ್ರೋಟೋಕಾಲ್ ಬಳಸಿ ನೋಡ್ಗಳ ನಡುವೆ ಸಿಂಕ್ರೊನೈಸ್ ಮಾಡಲಾಗುತ್ತದೆ.
ದುರುದ್ದೇಶಪೂರಿತ ಘಟಕಗಳನ್ನು ifconfig, libexec, php-fpm ಮತ್ತು nginx ಪ್ರಕ್ರಿಯೆಗಳಂತೆ ಮರೆಮಾಚಲಾಗುತ್ತದೆ. ಬಾಟ್ನೆಟ್ ನೋಡ್ಗಳು ತಮ್ಮ ನೆರೆಹೊರೆಯವರ ಸ್ಥಿತಿಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತವೆ ಮತ್ತು ಸರ್ವರ್ ಅನ್ನು ರೀಬೂಟ್ ಮಾಡಿದರೆ ಅಥವಾ OS ಅನ್ನು ಮರುಸ್ಥಾಪಿಸಿದರೆ (ಮಾರ್ಪಡಿಸಿದ ಅಧಿಕೃತ_ಕೀಗಳ ಫೈಲ್ ಅನ್ನು ಹೊಸ ಸಿಸ್ಟಮ್ಗೆ ವರ್ಗಾಯಿಸಿದ್ದರೆ), ಅವು ಹೋಸ್ಟ್ನಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಘಟಕಗಳನ್ನು ಮರು-ಸಕ್ರಿಯಗೊಳಿಸುತ್ತವೆ. ಸಂವಹನಕ್ಕಾಗಿ, ಪ್ರಮಾಣಿತ SSH ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ - ಮಾಲ್ವೇರ್ ಹೆಚ್ಚುವರಿಯಾಗಿ ಸ್ಥಳೀಯ "ನೆಟ್ಕ್ಯಾಟ್" ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ ಅದು ಸ್ಥಳೀಯ ಹೋಸ್ಟ್ ಇಂಟರ್ಫೇಸ್ಗೆ ಬಂಧಿಸುತ್ತದೆ ಮತ್ತು ಪೋರ್ಟ್ 1234 ನಲ್ಲಿ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಆಲಿಸುತ್ತದೆ, ಇದು SSH ಸುರಂಗದ ಮೂಲಕ ಪ್ರವೇಶವನ್ನು ಬಾಹ್ಯ ಹೋಸ್ಟ್ ಮಾಡುತ್ತದೆ, ಸಂಪರ್ಕಿಸಲು ಅಧಿಕೃತ_ಕೀಗಳಿಂದ ಕೀಲಿಯನ್ನು ಬಳಸುತ್ತದೆ.
FritzFrog ಕಾಂಪೊನೆಂಟ್ ಕೋಡ್ ಅನ್ನು Go ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು ಮಲ್ಟಿ-ಥ್ರೆಡ್ ಮೋಡ್ನಲ್ಲಿ ರನ್ ಆಗುತ್ತದೆ. ಮಾಲ್ವೇರ್ ವಿವಿಧ ಥ್ರೆಡ್ಗಳಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಹಲವಾರು ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಒಳಗೊಂಡಿದೆ:
- ಕ್ರ್ಯಾಕರ್ - ದಾಳಿಗೊಳಗಾದ ಸರ್ವರ್ಗಳಲ್ಲಿ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಹುಡುಕುತ್ತದೆ.
- ಕ್ರಿಪ್ಟೋಕಾಮ್ + ಪಾರ್ಸರ್ - ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ P2P ಸಂಪರ್ಕವನ್ನು ಆಯೋಜಿಸುತ್ತದೆ.
- CastVotes ದಾಳಿಗೆ ಗುರಿ ಹೋಸ್ಟ್ಗಳನ್ನು ಜಂಟಿಯಾಗಿ ಆಯ್ಕೆಮಾಡುವ ಒಂದು ಕಾರ್ಯವಿಧಾನವಾಗಿದೆ.
- TargetFeed - ನೆರೆಯ ನೋಡ್ಗಳಿಂದ ದಾಳಿ ಮಾಡಲು ನೋಡ್ಗಳ ಪಟ್ಟಿಯನ್ನು ಪಡೆಯುತ್ತದೆ.
- DeployMgmt ಎನ್ನುವುದು ವರ್ಮ್ನ ಅನುಷ್ಠಾನವಾಗಿದ್ದು ಅದು ರಾಜಿ ಮಾಡಿಕೊಂಡ ಸರ್ವರ್ಗೆ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ವಿತರಿಸುತ್ತದೆ.
- ಮಾಲೀಕತ್ವದಲ್ಲಿದೆ - ಈಗಾಗಲೇ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಚಾಲನೆಯಲ್ಲಿರುವ ಸರ್ವರ್ಗಳಿಗೆ ಸಂಪರ್ಕಿಸಲು ಜವಾಬ್ದಾರಿ.
- ಜೋಡಿಸು - ಪ್ರತ್ಯೇಕವಾಗಿ ವರ್ಗಾಯಿಸಲಾದ ಬ್ಲಾಕ್ಗಳಿಂದ ಮೆಮೊರಿಯಲ್ಲಿ ಫೈಲ್ ಅನ್ನು ಜೋಡಿಸುತ್ತದೆ.
- Antivir - ಸ್ಪರ್ಧಾತ್ಮಕ ಮಾಲ್ವೇರ್ ಅನ್ನು ನಿಗ್ರಹಿಸುವ ಮಾಡ್ಯೂಲ್, CPU ಸಂಪನ್ಮೂಲಗಳನ್ನು ಸೇವಿಸುವ "xmr" ಸ್ಟ್ರಿಂಗ್ನೊಂದಿಗೆ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಗುರುತಿಸುತ್ತದೆ ಮತ್ತು ಕೊನೆಗೊಳಿಸುತ್ತದೆ.
- ಲಿಬೆಕ್ಸೆಕ್ ಮೊನೆರೊ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿಯನ್ನು ಗಣಿಗಾರಿಕೆ ಮಾಡಲು ಮಾಡ್ಯೂಲ್ ಆಗಿದೆ.
ಫ್ರಿಟ್ಜ್ಫ್ರಾಗ್ನಲ್ಲಿ ಬಳಸಲಾದ P2P ಪ್ರೋಟೋಕಾಲ್ ನೋಡ್ಗಳ ನಡುವೆ ಡೇಟಾವನ್ನು ವರ್ಗಾಯಿಸಲು, ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಚಲಾಯಿಸಲು, ಮಾಲ್ವೇರ್ ಘಟಕಗಳನ್ನು ವರ್ಗಾಯಿಸಲು, ಮತದಾನದ ಸ್ಥಿತಿ, ಲಾಗ್ಗಳನ್ನು ವಿನಿಮಯ ಮಾಡಿಕೊಳ್ಳಲು, ಪ್ರಾಕ್ಸಿಗಳನ್ನು ಪ್ರಾರಂಭಿಸಲು ಇತ್ಯಾದಿಗಳಿಗೆ ಜವಾಬ್ದಾರರಾಗಿರುವ ಸುಮಾರು 30 ಆಜ್ಞೆಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ. JSON ಫಾರ್ಮ್ಯಾಟ್ನಲ್ಲಿ ಧಾರಾವಾಹಿಯೊಂದಿಗೆ ಪ್ರತ್ಯೇಕ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಚಾನಲ್ನಲ್ಲಿ ಮಾಹಿತಿಯನ್ನು ರವಾನಿಸಲಾಗುತ್ತದೆ. ಎನ್ಕ್ರಿಪ್ಶನ್ ಅಸಮ್ಮಿತ AES ಸೈಫರ್ ಮತ್ತು Base64 ಎನ್ಕೋಡಿಂಗ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. DH ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಕೀ ವಿನಿಮಯಕ್ಕಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ (
ಎಲ್ಲಾ ಬಾಟ್ನೆಟ್ ನೋಡ್ಗಳು ದಾಳಿಗೊಳಗಾದ ಮತ್ತು ರಾಜಿ ಮಾಡಿಕೊಂಡ ಸಿಸ್ಟಮ್ಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯೊಂದಿಗೆ ವಿತರಿಸಿದ ಡೇಟಾಬೇಸ್ ಅನ್ನು ನಿರ್ವಹಿಸುತ್ತವೆ. ಬಾಟ್ನೆಟ್ನಾದ್ಯಂತ ದಾಳಿ ಗುರಿಗಳನ್ನು ಸಿಂಕ್ರೊನೈಸ್ ಮಾಡಲಾಗುತ್ತದೆ - ಪ್ರತಿ ನೋಡ್ ಪ್ರತ್ಯೇಕ ಗುರಿಯ ಮೇಲೆ ದಾಳಿ ಮಾಡುತ್ತದೆ, ಅಂದರೆ. ಎರಡು ವಿಭಿನ್ನ ಬೋಟ್ನೆಟ್ ನೋಡ್ಗಳು ಒಂದೇ ಹೋಸ್ಟ್ ಮೇಲೆ ದಾಳಿ ಮಾಡುವುದಿಲ್ಲ. ನೋಡ್ಗಳು ಸ್ಥಳೀಯ ಅಂಕಿಅಂಶಗಳನ್ನು ಸಂಗ್ರಹಿಸುತ್ತವೆ ಮತ್ತು ರವಾನಿಸುತ್ತವೆ, ಉದಾಹರಣೆಗೆ ಉಚಿತ ಮೆಮೊರಿ ಗಾತ್ರ, ಅಪ್ಟೈಮ್, CPU ಲೋಡ್ ಮತ್ತು SSH ಲಾಗಿನ್ ಚಟುವಟಿಕೆ. ಗಣಿಗಾರಿಕೆ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಾರಂಭಿಸಬೇಕೆ ಅಥವಾ ಇತರ ಸಿಸ್ಟಮ್ಗಳ ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ನೋಡ್ ಅನ್ನು ಬಳಸಬೇಕೆ ಎಂದು ನಿರ್ಧರಿಸಲು ಈ ಮಾಹಿತಿಯನ್ನು ಬಳಸಲಾಗುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ಗಣಿಗಾರಿಕೆಯು ಲೋಡ್ ಮಾಡಲಾದ ಸಿಸ್ಟಮ್ಗಳು ಅಥವಾ ಆಗಾಗ್ಗೆ ನಿರ್ವಾಹಕ ಸಂಪರ್ಕಗಳೊಂದಿಗೆ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ಪ್ರಾರಂಭವಾಗುವುದಿಲ್ಲ).
ಫ್ರಿಟ್ಜ್ ಫ್ರಾಗ್ ಅನ್ನು ಗುರುತಿಸಲು, ಸಂಶೋಧಕರು ಸರಳವಾದದನ್ನು ಪ್ರಸ್ತಾಪಿಸಿದ್ದಾರೆ
ಪೋರ್ಟ್ 1234 ನಲ್ಲಿ ಆಲಿಸುವ ಸಂಪರ್ಕದ ಉಪಸ್ಥಿತಿ, ಉಪಸ್ಥಿತಿಯಂತಹ ಚಿಹ್ನೆಗಳು
ಮೂಲ: opennet.ru