Pargîdaniya Guardicore, pispor di parastina navendên daneyê û pergalên ewr de, FritzFrog, malwareyek nû ya teknolojiya bilind a ku êrîşî serverên Linux-ê dike. FritzFrog kurmek ku bi êrîşek bruteforce li ser serverên bi portek SSH vekirî belav dibe, û pêkhateyan berhev dike da ku botnetek nemerkezî ava bike ku bêyî girêkên kontrolê tevdigere û xala têkçûnê tune.
Ji bo avakirina botnetek, protokolek P2P ya xwedan tê bikar anîn, ku tê de girêk bi hevûdu re têkilî daynin, rêxistina êrîşan hevrêz dikin, piştgirî didin operasyona torê û rewşa hevûdu çavdêrî dikin. Mexdûrên nû bi pêkanîna êrîşek hovane li ser serverên ku bi rêya SSH daxwazan qebûl dikin têne dîtin. Dema ku serverek nû tê kifş kirin, ferhengek hevbendiyên tîpîk ên têketin û şîfreyan tê lêgerîn. Kontrol dikare bi her girêkekê ve were kirin, ku ev yek tespîtkirin û astengkirina operatorên botnetê dijwar dike.
Li gorî lêkolîneran, botnet jixwe nêzî 500 nod hene, di nav de serverên gelek zanîngehan û pargîdaniyek mezin a trênê. Hat diyarkirin ku hedefên sereke yên êrîşê şebekeyên saziyên perwerdeyê, navendên tenduristiyê, saziyên hikûmetê, bank û şîrketên telekomunîkasyonê ne. Piştî ku server tê tawîz kirin, pêvajoya derxistina pereyê krîpto Monero li ser wê tê organîze kirin. Çalakiya malware ya navborî ji Çileyê 2020-an vir ve tê şopandin.
Tişta taybetî ya di derbarê FritzFrog de ev e ku ew hemî daneyan û koda darvekirinê tenê di bîranînê de digire. Guhertinên li ser dîskê tenê ji lê zêdekirina mifteyek SSH-ya nû li pelê autorized_keys pêk tê, ku paşê ji bo gihîştina serverê tê bikar anîn. Pelên pergalê nayên guheztin, ku ev kurmê ji pergalên ku yekparçeyiyê bi karanîna kontrolên kontrolê kontrol dikin re nayê dîtin. Bîr di heman demê de ferhengên ji bo şîfreyên hovane û daneyên ji bo madenê tomar dike, ku di navbera girêkan de bi karanîna protokola P2P-ê têne hevdem kirin.
Pêkhateyên xerab wekî pêvajoyên ifconfig, libexec, php-fpm û nginx têne kamûflekirin. Girêkên Botnetê rewşa cîranên xwe dişopînin û, ger server ji nû ve were destpêkirin an tewra OS ji nû ve were saz kirin (heke pelek autorized_keys a guhezbar ji pergala nû re were veguheztin), ew hêmanên xirab li ser mêvandar ji nû ve çalak dikin. Ji bo ragihandinê, SSH standard tê bikar anîn - malware di heman demê de "netcat"ek herêmî dide destpêkirin ku bi navbeynkariya localhost-ê ve girêdide û li seyrûsefera porta 1234-ê guhdarî dike, ku mêvandarên derveyî bi navgîniya tunelek SSH-ê ve digihîje, bi karanîna mifteyek ji keys_destûrkirî ve girêdayî ye.
Koda pêkhateya FritzFrog di Go-yê de tê nivîsandin û di moda pir-mijarî de dimeşe. Malware çend modulên ku di mijarên cihêreng de dixebitin vedihewîne:
- Cracker - li şîfreyên li ser serverên êrîşkirî digere.
- CryptoComm + Parser - pêwendiyek P2P ya şîfrekirî organîze dike.
- CastVotes mekanîzmayek e ku bi hev re mêvandarên armanc ji bo êrîşê hilbijêrin.
- TargetFeed - Navnîşek girêkan werdigire ku ji girêkên cîran êrîş bike.
- DeployMgmt pêkanîna kurmek e ku koda xirab li serverek lihevhatî belav dike.
- Xwedî - berpirsiyar e ji bo girêdana bi serverên ku berê koda xerab dimeşînin.
- Civîn - pelek di bîranînê de ji blokên veqetandî yên cihêreng berhev dike.
- Antivir - modulek ji bo tepeserkirina malwareya hevrik, pêvajoyên bi rêzika "xmr" ya ku çavkaniyên CPU-yê dixwin nas dike û diqedîne.
- Libexec modulek ji bo derxistina pereyê krîpto Monero ye.
Protokola P2P ya ku di FritzFrog de tê bikar anîn, bi qasî 30 fermanên ku ji bo veguheztina daneyan di navbera girêkan de, xebitandina nivîsan, veguheztina hêmanên malware, statûya dengdanê, veguheztina têketin, destpêkirina proxyan, hwd piştgirî dike. Agahdarî li ser kanalek şîfrekirî ya cihêreng bi serialîzasyona di formata JSON de têne şandin. Şîfrekirin şîfreya AES ya asimetrîk û şîfrekirina Base64 bikar tîne. Protokola DH ji bo pevguhertina mifteyê tê bikar anîn (). Ji bo diyarkirina dewletê, nod bi domdarî daxwazên ping diguhezînin.
Hemî girêkên botnetê databasek belavkirî bi agahdariya li ser pergalên êrîşkar û lihevhatî diparêzin. Armancên êrîşê li seranserê botnetê têne hevdem kirin - her nod êrîşî armancek cûda dike, ango. du girêkên cuda yên botnetê dê êrîşî heman mêvandar nekin. Nod di heman demê de statîstîkên herêmî ji cîranan re berhev dikin û dişînin, wekî mezinahiya bîranîna belaş, dema xebatê, barkirina CPU, û çalakiya têketina SSH. Ev agahdarî tê bikar anîn da ku biryar bide ka meriv pêvajoya kanan dest pê bike an girêk tenê bikar bîne da ku êrişî pergalên din bike (mînak, kanan li ser pergalên barkirî an pergalên bi girêdanên rêveber ên pir caran dest pê nake).
Ji bo naskirina FritzFrog, lêkolîneran pêşniyarek hêsan pêşniyar kirin . Ji bo destnîşankirina zirara pergalê
nîşanên wek hebûna girêdana guhdarîkirinê li port 1234, hebûn di bişkojkên destûrdar de (eynî mifteya SSH li ser hemî girêkan tê saz kirin) û hebûna di bîranîna pêvajoyên xebitandinê de "ifconfig", "libexec", "php-fpm" û "nginx" ên ku pelên îcrakar ên têkildar nînin ("/proc/ /exe" li pelek dûr nîşan dide). Nîşanek di heman demê de dibe ku hebûna seyrûsefera li ser porta torê 5555 be, ku dema ku malware di dema kanankirina pereyê krîpto Monero de xwe digihîne hewzê web.xmrpool.eu ya tîpîk.
Source: opennet.ru