Дата төв, үүлэн системийг хамгаалах чиглэлээр мэргэшсэн Guardicore компани,
Ботнетийг бий болгохын тулд зангилаанууд хоорондоо харилцаж, халдлагын зохион байгуулалтыг зохицуулж, сүлжээний ажиллагааг дэмжиж, бие биенийхээ статусыг хянадаг өмчийн P2P протоколыг ашигладаг. SSH-ээр дамжуулан хүсэлтийг хүлээн авдаг серверүүд рүү харгис хэрцгий дайралт хийснээр шинэ хохирогчид олддог. Шинэ сервер илэрсэн үед нэвтрэх болон нууц үгийн ердийн хослолуудын толь бичгийг хайдаг. Хяналтыг ямар ч зангилаагаар хийх боломжтой бөгөөд энэ нь ботнет операторуудыг таних, хаахад хэцүү болгодог.
Судлаачдын үзэж байгаагаар ботнет нь аль хэдийн 500 орчим зангилаатай бөгөөд үүнд хэд хэдэн их дээд сургууль, томоохон төмөр замын компанийн серверүүд багтсан байна. Халдлагын гол бай нь боловсролын байгууллага, эрүүл мэндийн төвүүд, төрийн байгууллагууд, банкууд, харилцаа холбооны компаниудын сүлжээ гэж тэмдэглэжээ. Сервер эвдэрсэний дараа Monero криптовалют олборлох үйл явц түүн дээр зохион байгуулагддаг. Энэхүү хортой програмын үйл ажиллагааг 2020 оны XNUMX-р сараас хойш ажиглаж байна.
FritzFrog-ийн онцлог нь бүх өгөгдөл болон гүйцэтгэх кодыг зөвхөн санах ойд хадгалдаг. Диск дээрх өөрчлөлтүүд нь зөвхөн серверт хандахад ашиглагдах эрх бүхий_түлхүүр файлд шинэ SSH түлхүүр нэмэхээс бүрддэг. Системийн файлууд өөрчлөгдөөгүй бөгөөд энэ нь шалгах нийлбэрийг ашиглан бүрэн бүтэн байдлыг шалгадаг системүүдэд өтийг үл үзэгдэх болгодог. Санах ойд мөн P2P протоколыг ашиглан зангилаа хооронд синхрончлогдсон олборлолтод зориулсан нууц үг, өгөгдөлд зориулсан толь бичгүүдийг хадгалдаг.
Хортой бүрэлдэхүүн хэсгүүдийг ifconfig, libexec, php-fpm болон nginx процессууд гэж өнгөлөн далдалсан байдаг. Ботнетийн зангилаанууд хөршүүдийнхээ статусыг хянадаг бөгөөд хэрэв сервер дахин ачаалагдсан эсвэл үйлдлийн систем дахин суулгасан бол (хэрэв өөрчилсөн эрх бүхий_keys файлыг шинэ системд шилжүүлсэн бол) хост дээрх хортой бүрэлдэхүүн хэсгүүдийг дахин идэвхжүүлдэг. Харилцаа холбооны хувьд стандарт SSH ашигладаг - хортой програм нь локал хост интерфэйстэй холбогдож, 1234-р портын траффикийг сонсдог локал "netcat"-ыг ажиллуулдаг бөгөөд гадны хостууд SSH туннелээр нэвтрэх эрх бүхий товчлуурын түлхүүрийг ашиглан холбогддог.
FritzFrog бүрэлдэхүүн хэсгийн код нь Go програм дээр бичигдсэн бөгөөд олон урсгалтай горимд ажилладаг. Хортой програм нь янз бүрийн хэлхээнд ажилладаг хэд хэдэн модулийг агуулдаг:
- Cracker - халдлагад өртсөн серверүүдээс нууц үг хайдаг.
- CryptoComm + Parser - шифрлэгдсэн P2P холболтыг зохион байгуулдаг.
- CastVotes нь халдлага хийх зорилтот хостуудыг хамтран сонгох механизм юм.
- TargetFeed - Хөрш зэргэлдээх цэгүүдээс довтлох зангилааны жагсаалтыг хүлээн авна.
- DeployMgmt нь эвдэрсэн серверт хортой кодыг түгээдэг өтний хэрэгжилт юм.
- Эзэмшсэн - аль хэдийн хортой код ажиллуулж байгаа серверүүдтэй холбогдох үүрэгтэй.
- Assemble - тусад нь шилжүүлсэн блокуудаас санах ойд файл цуглуулдаг.
- Antivir - өрсөлдөгч хортой программыг дарах модуль бөгөөд CPU-ийн нөөцийг зарцуулдаг "xmr" мөр бүхий процессуудыг тодорхойлж, дуусгадаг.
- Libexec бол Monero криптовалют олборлох модуль юм.
FritzFrog-д ашигладаг P2P протокол нь зангилаа хооронд өгөгдөл дамжуулах, скрипт ажиллуулах, хортой програмын бүрэлдэхүүн хэсгүүдийг шилжүүлэх, санал асуулгын статус, бүртгэл солилцох, прокси ажиллуулах гэх мэт 30 орчим командыг дэмждэг. Мэдээллийг JSON форматаар цуваа болгон тусдаа шифрлэгдсэн сувгаар дамжуулдаг. Шифрлэлт нь тэгш хэмт бус AES шифр болон Base64 кодчилолыг ашигладаг. DH протоколыг түлхүүр солилцоход ашигладаг (
Бүх ботнетийн зангилаанууд халдлагад өртсөн болон халдлагад өртсөн системийн талаарх мэдээлэл бүхий тархсан мэдээллийн санг хадгалдаг. Довтолгооны зорилтууд нь ботнет даяар синхрончлогддог - зангилаа бүр тусдаа зорилтот руу дайрдаг. Хоёр өөр ботнетийн зангилаа нэг хост руу дайрахгүй. Зангилаанууд нь санах ойн хэмжээ, ажиллах хугацаа, CPU ачаалал, SSH нэвтрэлт зэрэг орон нутгийн статистик мэдээллийг цуглуулж хөршүүд рүү дамжуулдаг. Энэ мэдээлэл нь олборлолтын процессыг эхлүүлэх эсвэл зангилааг зөвхөн бусад системд довтлоход ашиглах эсэхийг шийдэхэд ашиглагддаг (жишээлбэл, ачаалал ихтэй систем эсвэл администраторын байнгын холболттой систем дээр олборлолт эхэлдэггүй).
FritzFrog-г тодорхойлохын тулд судлаачид энгийн аргыг санал болгов
1234-р порт дээр сонсох холболт байгаа эсэх, байгаа эсэх зэрэг шинж тэмдгүүд
Эх сурвалж: opennet.ru