Societas Guardicore, specialiter in tutela datarum centra et systemata nubecula; FritzFrog, novus malware summus technicus, qui Linux-substructio servientes oppugnat. FritzFrog vermem coniungit qui per impetum in servientium violentum apertum SSH portum diffundit, et partes ad botnet fabricandam decentralized quae sine nodis moderandis laborat nec ullum punctum defectionis habet.
Ad aedificandum botnet, protocollum proprietatis P2P adhibetur, in quo nodi inter se conveniunt, ordinationem oppugnationum disponunt, operationem retis et monitoris alterius status sustinent. Novae victimae inventae sunt per impetum violentum in servientibus exequendis qui per SSH petitiones accipiunt. Cum novus servo detegitur, glossarium typorum nexuum et Tesserae indagatum est. Imperium per nodi exerceri potest, quod difficilem efficit operariorum botnet cognoscendi et angustos.
Secundum investigatores botnet iam circiter 500 nodos habet, cum ministris plurium universitatum et magnam societatem ferriviariam. Notandum est principalia oppugnationis scuta esse retiacula institutionum Institutorum, medicorum, centra, regimen institutionum, riparum et societatum telecommunicationum. Post server aedilis, processus cuniculorum Monero cryptocurrentiae in eo ordinatur. Actio malware de qua agitur ab Ianuarii MMXX peracta est.
Peculiare de FritzFrog est quod omnia notitia et exsecutabile codicem solum in memoria custodit. Mutationes in orbe tantum possunt addere novam SSH clavem ad authenticum fasciculi, quae postea servo accessere solebat. Ratio imagini non mutatur, quae vermiculum systematis invisibile reddit, qui integritatis usus checks sumuntur. Memoria etiam dictionaria reponit pro Tesserae brutis cogendis et fodiendarum notitiarum, quae inter nodos conformantur protocollo P2P utentes.
Ater partes camouflaged as ifconfig, libexec, php-fpm & nginx proceffus. Botnet nodi status finitimorum monent et, si minister reboitur vel etiam OS restituitur (si fasciculus mutationis authentici ad novum systema translatum est), partes malignas in exercitum re-movent. Communicatio, vexillum SSH adhibetur - malware praeterea localem "netcat" immittit quae ligat ad interfaciem localem et audit mercaturam in portu 1234, quae externae hostiae per cuniculum SSH accedunt, utendo clavis ab authenticis clavibus ad connectendum.
Codicem componentium FritzFrog in Go scriptum est et in multi-filate modi currit. Plures modulos malware includunt, qui in filis diversis currunt;
- Cracker - perquirit passwords in servientibus oppugnantibus.
- CryptoComm + Parser - encrypted P2P ordinat nexum.
- CastVotes est mechanismus pro clypeo exercituum coniunctim eligendo pro impetu.
- TargetFeed - Indicem nodorum ad oppugnationem e nodis vicinis accipit.
- DeployMgmt exsecutio est vermis qui malevolos codicem distribuit servo aedilis.
- Possessores - responsales coniungendi cum ministris qui codicem malignum iam currentem habebant.
- Congrega - fasciculum in memoriam colligit ex caudices distincte translatis.
- Antivir - modulus ad malware reprimendum contendens, agnoscit et terminat processus chordae "xmr" quae facultates CPU consumunt.
- Libexec modulus est ad fodienda Monero cryptocurrency.
Protocollum P2P adhibitum in FritzFrog subsidiis circiter 30 mandatorum responsabilium notitias inter nodos, scripta currentes transferendo, componentes malware transferentes, statum stipendii, trabes commutandi, procuratores deducendi, etc. Informatio transmittitur per canalem encryptatum separatum cum serializatione in forma JSON. Encryption utitur asymmetricis AES notis et Base64 descriptam. DH protocollo adhibetur pro clavis commutationis (). Ut rempublicam determinent, nodes petitiones assidue commutant.
Omnes nodi botnetici tenent databases distributos cum informationibus de systematibus oppugnatis et periculosis. Scuta impetum per botnet synchronum sunt - uterque nodi scopum separatum oppugnat, i.e. Duo botnet nodis diversis eundem exercitum non oppugnant. Nodi quoque locales mutant et finitimos colligunt, ut magnitudinem memoriae liberam, uptime, CPU onere, et actionem login SSH. Haec notitia diiudicare solet utrum fodiendi processum inire an nodi utendi modo ad alias systemata oppugnandas (exempli gratia, fodienda non incipit in onustis systematibus seu systematibus frequentibus nexus administratorum).
Ad recognoscendas FritzFrog, investigatores simplicem proposuerunt . Ad determinare systema damnum
signa, praesentia auscultationis nexum in portu 1234, praesentia in auctoritate_keys (eadem clavis SSH in omnibus nodis inaugurata est) et praesentia in memoria processuum currit "ifconfig", "libexec", "php-fpm" et "nginx" quae in exsecutabili ("/proc/" non habent. /exe" demonstrat lima remota). Signum potest etiam esse praesentia negotiationis in portu retis 5555, quod fit cum accessiones malware lacus typici interretiarii inter fodienda Monero cryptocurrentiae.
Source: opennet.ru