Guardicore Firma, spezialiséiert am Schutz vun Datenzenteren a Cloud Systemer, FritzFrog, eng nei High-Tech Malware déi Linux-baséiert Server attackéiert. FritzFrog kombinéiert e Wuerm deen duerch e bruteforce Attack op Serveren mat engem oppene SSH Hafen verbreet, a Komponenten fir en dezentraliséierte Botnet ze bauen deen ouni Kontrollknäppchen funktionnéiert an keen eenzege Punkt vum Echec huet.
Fir e Botnet ze bauen, gëtt e propriétaire P2P Protokoll benotzt, an deem Noden matenee interagéieren, d'Organisatioun vun Attacken koordinéieren, d'Operatioun vum Netz ënnerstëtzen an de Status vuneneen iwwerwaachen. Nei Affer ginn fonnt andeems en bruteforce Attack op Serveren ausféiert, déi Ufroe iwwer SSH akzeptéieren. Wann en neie Server festgestallt gëtt, gëtt e Wierderbuch vun typesche Kombinatioune vu Login a Passwierder gesicht. Kontroll kann duerch all Node duerchgefouert ginn, wat et schwéier mécht Botnet Betreiber z'identifizéieren an ze blockéieren.
Laut Fuerscher huet de Botnet scho ronn 500 Noden, dorënner d'Servere vu verschiddenen Universitéiten an enger grousser Eisebunnsfirma. Et gëtt bemierkt datt d'Haaptziler vum Attack sinn Netzwierker vun Erzéiungsinstituter, medizinesche Zentren, Regierungsbehörden, Banken an Telekommunikatiounsfirmen. Nodeems de Server kompromittéiert ass, gëtt de Prozess vum Mining vun der Monero cryptocurrency op et organiséiert. D'Aktivitéit vun der betreffender Malware gouf zënter Januar 2020 verfollegt.
Déi speziell Saach iwwer FritzFrog ass datt et all Daten an ausführbare Code nëmmen an der Erënnerung hält. Ännerunge op der Disk besteet nëmmen aus der Zousatz vun engem neie SSH-Schlëssel an der autoriséierter_keys Datei, déi duerno benotzt gëtt fir op de Server ze kommen. Systemdateien ginn net geännert, wat de Wurm onsichtbar mécht fir Systemer déi d'Integritéit iwwerpréift mat Kontrollsummen. D'Erënnerung späichert och Dictionnairen fir brute-Forcing Passwierder an Daten fir Mining, déi tëscht Noden mat dem P2P Protokoll synchroniséiert sinn.
Béiswëlleg Komponente ginn getarnt wéi ifconfig, libexec, php-fpm an nginx Prozesser. Botnet Noden iwwerwaachen de Status vun hiren Noperen a wann de Server nei gestart gëtt oder souguer d'OS nei installéiert gëtt (wann eng modifizéiert autoriséiert_keys Datei op den neie System transferéiert gouf), aktivéieren se béiswëlleg Komponenten am Host. Fir Kommunikatioun gëtt Standard SSH benotzt - d'Malware lancéiert zousätzlech e lokalen "netcat" deen un d'localhost-Interface bindt an de Traffic um Hafen 1234 lauschtert, deen externen Hosten Zougang duerch en SSH-Tunnel benotzt, mat engem Schlëssel vun authorized_keys fir ze verbannen.
De FritzFrog Komponentcode ass a Go geschriwwen a leeft am Multi-threaded Modus. De Malware enthält verschidde Moduler déi a verschiddene Threads lafen:
- Cracker - sicht Passwierder op attackéiert Serveren.
- CryptoComm + Parser - organiséiert eng verschlësselte P2P Verbindung.
- CastVotes ass e Mechanismus fir gemeinsam Zilhost fir Attack ze wielen.
- TargetFeed - Kritt eng Lëscht vun Noden fir vun den Nopeschnoden ze attackéieren.
- DeployMgmt ass eng Implementatioun vun engem Wuerm dee béiswëlleg Code op e kompromittéierte Server verdeelt.
- Besëtz - verantwortlech fir d'Verbindung mat Serveren déi scho béiswëlleg Code lafen.
- Assemble - sammelt eng Datei an der Erënnerung aus getrennt transferéierte Blocken.
- Antivir - e Modul fir Konkurrenz Malware z'ënnerdrécken, identifizéiert a terminéiert Prozesser mat der String "xmr" déi CPU Ressourcen verbrauchen.
- Libexec ass e Modul fir d'Monero cryptocurrency ofzebauen.
De P2P Protokoll, deen am FritzFrog benotzt gëtt, ënnerstëtzt ongeféier 30 Kommandoen, déi verantwortlech sinn fir Daten tëscht Noden ze transferéieren, Scripten ze lafen, Malware Komponenten ze transferéieren, Pollingstatus, Logbicher austauschen, Proxyen starten, etc. Informatioun gëtt iwwer e separat verschlësselte Kanal mat Serialiséierung am JSON Format iwwerdroen. Verschlësselung benotzt asymmetresch AES Chiffer a Base64 Kodéierung. Den DH Protokoll gëtt fir Schlësselaustausch benotzt (). Fir de Staat ze bestëmmen, ginn d'Noden dauernd Ping-Ufroen austauschen.
All Botnet Noden erhalen eng verdeelt Datebank mat Informatioun iwwer attackéiert a kompromittéiert Systemer. Attackziler sinn am ganze Botnet synchroniséiert - all Node attackéiert en separat Zil, d.h. zwee verschidde Botnet Noden attackéieren net dee selwechte Host. Node sammelen a vermëttelen och lokal Statistiken un d'Noperen, sou wéi gratis Erënnerungsgréisst, Uptime, CPU Belaaschtung an SSH Login Aktivitéit. Dës Informatioun gëtt benotzt fir ze entscheeden ob de Biergbau Prozess ufänken oder den Node benotzen nëmmen aner Systemer unzegräifen (zum Beispill, Biergbau fänkt net op gelueden Systemer oder Systemer mat heefeg Administrateur Verbindungen).
Fir FritzFrog z'identifizéieren, hunn d'Fuerscher eng einfach proposéiert . Fir System Schued ze bestëmmen
Schëlder wéi d'Präsenz vun engem lauschteren Verbindung op port 1234, der Präsenz an autoriséierten_Schlësselen (dee selwechte SSH Schlëssel ass op all Noden installéiert) an d'Präsenz an Erënnerung un de lafende Prozesser "ifconfig", "libexec", "php-fpm" an "nginx" déi keng assoziéiert ausführbar Dateien hunn ("/ proc/ /exe" weist op eng Ferndatei). E Schëld kann och d'Präsenz vum Traffic am Netzhafen 5555 sinn, wat geschitt wann Malware op den typesche Pool web.xmrpool.eu während dem Biergbau vun der Monero cryptocurrency Zougang.
Source: opennet.ru