Guardicore компаниясы, маалымат борборлорун жана булут системаларын коргоого адистешкен, FritzFrog, Linux негизиндеги серверлерге кол салган жаңы жогорку технологиялык зыяндуу программа. FritzFrog ачык SSH порту бар серверлерге катаал чабуул аркылуу тараган куртту жана башкаруу түйүндөрүсүз иштеген жана бир да катачылык чекити жок борбордон ажыратылган ботнетти куруу үчүн компоненттерди бириктирет.
Ботнетти куруу үчүн проприетардык P2P протоколу колдонулат, анда түйүндөр бири-бири менен иштешет, чабуулдарды уюштурууну координациялайт, тармактын иштешин колдошот жана бири-биринин абалын көзөмөлдөйт. Жаңы курмандыктар SSH аркылуу суроо-талаптарды кабыл алган серверлерге катаал чабуул жасоо аркылуу табылды. Жаңы сервер табылганда логиндердин жана сырсөздөрдүн типтүү айкалыштарынын сөздүгү изделет. Башкаруу ар кандай түйүн аркылуу жүргүзүлүшү мүмкүн, бул ботнет операторлорун аныктоону жана бөгөт коюуну кыйындатат.
Изилдөөчүлөрдүн айтымында, ботнетте буга чейин 500дөй түйүн бар, анын ичинде бир нече университеттин серверлери жана ири темир жол компаниясы бар. Чабуулдун негизги буталары билим берүү мекемелеринин тармактары, медициналык борборлор, мамлекеттик мекемелер, банктар жана телекоммуникация компаниялары экени белгиленет. Server бузулгандан кийин, ага Monero cryptocurrency казып алуу процесси уюштурулат. Каралып жаткан кесепеттүү программанын активдүүлүгү 2020-жылдын январынан бери байкалган.
FritzFrog жөнүндө өзгөчө нерсе, ал бардык маалыматтарды жана аткарылуучу кодду эстутумда гана сактайт. Дисктеги өзгөртүүлөр кийин серверге кирүү үчүн колдонулуучу avtorized_keys файлына жаңы SSH ачкычын кошуудан гана турат. Системалык файлдар өзгөртүлбөйт, бул курт текшерүү суммаларын колдонуп бүтүндүгүн текшерген системаларга көрүнбөйт. Эс тутумда ошондой эле P2P протоколун колдонуу менен түйүндөр ортосунда синхрондоштуруучу катаал-мажбур сырсөздөр жана тоо-кен казып алуу үчүн маалыматтар үчүн сөздүктөр сакталат.
Зыяндуу компоненттер ifconfig, libexec, php-fpm жана nginx процесстери катары камуфляждалган. Ботнет түйүндөрү кошуналарынын абалын көзөмөлдөйт жана эгер сервер кайра жүктөлсө же ал тургай ОС кайра орнотулган болсо (эгер өзгөртүлгөн авторизацияланган_ачкыч файлы жаңы системага өткөрүлүп берилсе), алар хосттогу зыяндуу компоненттерди кайра активдештирет. Байланыш үчүн стандарттуу SSH колдонулат - кесепеттүү программа кошумча түрдө локалдык хост интерфейсине туташып, 1234-порттогу трафикти уга турган локалдык “netcat” ишке киргизет, ага тышкы хосттор SSH туннели аркылуу кире алат, туташуу үчүн authorized_keys ачкычын колдонуп.
FritzFrog компонентинин коду Go программасында жазылган жана көп жиптүү режимде иштейт. Кесепеттүү программа ар кандай жиптерде иштеген бир нече модулдарды камтыйт:
- Cracker - чабуулга кабылган серверлерден сырсөздөрдү издейт.
- CryptoComm + Parser - шифрленген P2P байланышын уюштурат.
- CastVotes – бул чабуул үчүн максаттуу хостторду чогуу тандоо механизми.
- TargetFeed - Коңшу түйүндөрдөн кол салуу үчүн түйүндөрдүн тизмесин алат.
- DeployMgmt – бузулган серверге зыяндуу кодду таратуучу курттун ишке ашырылышы.
- Ээлик - зыяндуу кодду иштетип жаткан серверлерге туташуу үчүн жооптуу.
- Assemble - өзүнчө өткөрүлүп берилген блоктордун эстутумундагы файлды чогултат.
- Antivir - атаандаш кесепеттүү программаларды басуу үчүн модуль, CPU ресурстарын керектөөчү “xmr” саптары менен процесстерди аныктайт жана токтотот.
- Libexec Monero cryptocurrency казып алуу үчүн модулу болуп саналат.
FritzFrogда колдонулган P2P протоколу түйүндөрдүн ортосунда маалыматтарды өткөрүү, скрипттерди иштетүү, кесепеттүү программанын компоненттерин өткөрүү, сурамжылоонун статусу, журналдарды алмашуу, проксилерди ишке киргизүү жана башкалар үчүн жооптуу 30га жакын буйруктарды колдойт. Маалымат JSON форматында сериялаштыруу менен өзүнчө шифрленген канал аркылуу берилет. Шифрлөө асимметриялык AES шифрин жана Base64 коддоосун колдонот. DH протоколу ачкыч алмашуу үчүн колдонулат (). Абалын аныктоо үчүн түйүндөр тынымсыз пинг сурамдарын алмашат.
Бардык ботнет түйүндөрү чабуулга кабылган жана бузулган системалар тууралуу маалымат менен бөлүштүрүлгөн маалымат базасын сактайт. Чабуул буталары бүт ботнетте синхрондолот - ар бир түйүн өзүнчө бутага кол салат, б.а. эки башка ботнет түйүндөрү бир эле хостко кол салбайт. Түйүндөр ошондой эле бош эстутумдун көлөмү, иштөө убактысы, CPU жүгү жана SSH кирүү аракети сыяктуу жергиликтүү статистиканы чогултуп, кошуналарга өткөрүп беришет. Бул маалымат тоо-кен казып алуу процессин баштоо же түйүндү башка системаларга кол салуу үчүн гана колдонуу керекпи же жокпу, чечим кабыл алуу үчүн колдонулат (мисалы, тоо-кен казып алуу жүктөлгөн системаларда же администратордун тез-тез байланышы бар системаларда башталбайт).
FritzFrog аныктоо үчүн, изилдөөчүлөр жөнөкөй сунуш кылышкан . Системанын бузулушун аныктоо үчүн
1234 портунда угуу байланышынын болушу, болушу сыяктуу белгилер авторизацияланган_ачкычтарда (ошол эле SSH ачкычы бардык түйүндөрдө орнотулган) жана иштетилүүчү процесстердин эс тутумунда "ifconfig", "libexec", "php-fpm" жана "nginx" болушу, алар менен байланышкан аткарылуучу файлдары жок ("/proc/" /exe" алыскы файлды көрсөтөт). Белги да Монеро cryptocurrency казып алуу учурунда кесепеттүү типтүү бассейн web.xmrpool.eu киргенде пайда болот 5555 тармак портунда трафиктин болушу мүмкүн.
Source: opennet.ru