Ko te kamupene Guardicore, he tohunga ki te tiaki i nga pokapū raraunga me nga punaha kapua, FritzFrog, he rorohiko hou-hangarau hou e whakaeke ana i nga kaitoro-a-Linux. Ka whakakotahihia e FritzFrog tetahi kutukutu e horapa ana ma te whakaeke i nga kaitoro me te tauranga SSH tuwhera, me nga waahanga ki te hanga i tetahi botnet kua wehea e mahi ana me te kore o nga pona mana me te kore he waahi kore.
Ki te hanga i te botnet, ka whakamahia he kawa P2P rangatira, i roto i nga waahanga e taunekeneke ana tetahi ki tetahi, te whakarite i te whakahaere o nga whakaeke, te tautoko i te mahi o te whatunga me te aroturuki i te mana o tetahi ki tetahi. Ka kitea nga patunga hou ma te whakaeke i nga kaitoro e whakaae ana ma te SSH. Ina kitea he tūmau hou, ka rapua he papakupu o nga huinga angamaheni o nga takiuru me nga kupuhipa. Ka taea te whakahaere i roto i tetahi node, he uaua ki te tautuhi me te aukati i nga kaiwhakahaere botnet.
E ai ki nga kairangahau, kua tata ki te 500 nga pona kei te botnet, tae atu ki nga kaitoro o etahi whare wananga me tetahi kamupene tereina nui. E tohuhia ana ko nga kaupapa matua o te whakaeke ko nga hononga o nga whare matauranga, nga whare hauora, nga tari a te kawanatanga, nga peeke me nga kamupene waea. I muri i te whakararu o te tūmau, ka whakaritea te tukanga o te maina moni Monero ki runga. Ko te mahi o te malware e paataihia ana mai i te Hanuere 2020.
Ko te mea motuhake mo FritzFrog ko te pupuri i nga raraunga katoa me nga waehere ka taea anake ki te mahara. Ko nga huringa i runga i te kōpae ko te taapiri i tetahi taviri SSH hou ki te konae_keys mana, ka whakamahia hei uru atu ki te tūmau. Kaore e whakarereketia nga konae punaha, na reira ka kore e kitea te noke e nga punaha e tirotiro ana i te pono ma te whakamahi i nga kaute. Kei te maumahara hoki nga papakupu mo nga kupu huna me nga raraunga mo te maina, ka tukutahia i waenga i nga pona ma te whakamahi i te kawa P2P.
Ko nga waahanga kino ka hunahia hei ifconfig, libexec, php-fpm me nga tukanga nginx. Ko nga pona Botnet te aro turuki i te mana o o ratau hoa tata, a, ki te whakaara ano te tūmau, ki te whakauruhia ano ranei te OS (mehemea kua whakawhitia he konae whakamana_keys kua whakarereketia ki te punaha hou), ka whakahohe ano ratou i nga waahanga kino i runga i te kaihautu. Mo te whakawhitiwhiti korero, ka whakamahia te SSH paerewa - ka tukuna ano e te malware he "netcat" o te rohe e hono ana ki te atanga localhost me te whakarongo ki nga waka i runga i te tauranga 1234, e uru ana nga kaihautu o waho i roto i te kohanga SSH, ma te whakamahi i te kii mai i authorized_keys hei hono.
Ko te Waehere Waehere FritzFrog kua tuhia ki te Haere me te rere i roto i te aratau miro-maha. Kei roto i te malware etahi waahanga e rere ana i roto i nga miro rereke:
- Cracker - he rapu kupuhipa i runga i nga tūmau kua whakaekea.
- CryptoComm + Parser - he whakarite hononga P2P whakamunatia.
- Ko te CastVotes he tikanga mo te kowhiringa tahi i nga kaihautu whainga mo te whakaeke.
- TargetFeed - Ka whiwhi i te rarangi o nga pona hei whakaeke mai i nga pona tata.
- Ko te DeployMgmt he whakatinanatanga o te kutukutu e tohatoha ana i te waehere kino ki te tūmau kua taupatupatuhia.
- Nona - te kawenga mo te hono atu ki nga tūmau kei te whakahaere waehere kino.
- Huihuia - ka kohia he konae i roto i te mahara mai i nga poraka kua wehea motuhake.
- Antivir - he kōwae mo te pehi i te malware whakataetae, ka tautuhi me te whakamutu i nga tukanga ki te aho "xmr" e pau ana i nga rauemi CPU.
- Ko te Libexec he waahanga mo te keri moni moni Monero.
Ko te kawa P2P e whakamahia ana i FritzFrog e tautoko ana mo te 30 nga whakahau e haangai ana ki te whakawhiti raraunga i waenga i nga pona, te whakahaere i nga tuhinga tuhi, te whakawhiti i nga waahanga kino, te mana pooti, te whakawhiti i nga raarangi, te whakarewa i nga tohu, me era atu. Ka tukuna nga korero i runga i tetahi hongere whakamunatia motuhake me te raupapatanga ki te whakatakotoranga JSON. Ka whakamahi te whakamunatanga AES cipher me te whakawaehere Base64. Ka whakamahia te kawa DH mo te whakawhiti matua (). Hei whakatau i te ahua, ka whakawhiti tonu nga pona i nga tono ping.
Ko nga pona botnet katoa e pupuri ana i te papaaarangi kua tohatohahia me nga korero mo nga punaha whakaekea me te whakararu. Ko nga whaainga whakaeke ka tukutahia puta noa i te botnet - ka whakaekehia e ia node tetahi whaainga motuhake, ara. e rua nga pona botnet rereke e kore e whakaeke i te ope kotahi. Ka kohikohia, ka tukuna hoki e nga Nodes nga tatauranga a-rohe ki nga hoa tata, penei i te rahi mahara kore utu, te wa mahi, te uta CPU, me te mahi takiuru SSH. Ka whakamahia enei korero ki te whakatau mehemea ka timata te mahi maina, ka whakamahi ranei i te node ki te whakaeke i etahi atu punaha (hei tauira, kaore e timata te maina i runga i nga punaha utaina, i nga punaha me nga hononga kaiwhakahaere auau).
Hei tautuhi i a FritzFrog, kua whakaarohia e nga kairangahau he ngawari . Hei whakatau i te kino o te punaha
nga tohu penei i te aroaro o te hononga whakarongo ki te tauranga 1234, te aroaro i roto i nga mana_mau mana (kua whakauruhia te taviri SSH ki runga i nga pona katoa) me te noho mai i roto i te maharatanga mo te whakahaere i nga tukanga "ifconfig", "libexec", "php-fpm" me "nginx" kaore he konae ka taea te whakahaere ("/proc/ /exe" tohu ki tetahi konae mamao). Ka taea hoki e tetahi tohu ko te aroaro o nga waka i runga i te tauranga whatunga 5555, ka puta i te wa e uru atu ai te malware ki te puna kaukau web.xmrpool.eu i te wa e keri ana te moni moni Monero.
Source: opennet.ru