FritzFrog worm သည် SSH မှတစ်ဆင့် ဆာဗာများကို ကူးစက်ကာ ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသော botnet ကို တည်ဆောက်ခြင်း

Guardicore ကုမ္ပဏီသည် ဒေတာစင်တာများနှင့် cloud စနစ်များကို ကာကွယ်ရေးတွင် အထူးပြု၊ ထုတ်ဖော်ခဲ့သည်။ FritzFrog၊ Linux အခြေပြု ဆာဗာများကို တိုက်ခိုက်သည့် နည်းပညာမြင့် malware အသစ်။ FritzFrog သည် ဆာဗာများပေါ်ရှိ bruteforce တိုက်ခိုက်မှုမှတစ်ဆင့် ပျံ့နှံ့သွားသော worm တစ်ခုကို SSH port တစ်ခုနှင့် ပေါင်းစပ်ထားပြီး၊ ထိန်းချုပ်မှုမရှိဘဲ လုပ်ဆောင်နေပြီး ချို့ယွင်းချက်တစ်ခုမျှမရှိသော ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသော botnet တစ်ခုကို တည်ဆောက်ရန်အတွက် အစိတ်အပိုင်းများကို ပေါင်းစပ်ထားသည်။

botnet တစ်ခုတည်ဆောက်ရန်၊ သီးသန့် P2P ပရိုတိုကောကို အသုံးပြုပြီး node များအချင်းချင်း အပြန်အလှန် တုံ့ပြန်မှု၊ တိုက်ခိုက်မှုများ၏ အဖွဲ့အစည်းကို ညှိနှိုင်းရန်၊ ကွန်ရက်၏ လည်ပတ်မှုကို ပံ့ပိုးရန်နှင့် အချင်းချင်း၏ အခြေအနေကို စောင့်ကြည့်စစ်ဆေးသည့် အနေဖြင့် အသုံးပြုပါသည်။ SSH မှတစ်ဆင့် တောင်းဆိုမှုများကို လက်ခံသည့် ဆာဗာများပေါ်တွင် bruteforce တိုက်ခိုက်မှု ပြုလုပ်ခြင်းဖြင့် သားကောင်အသစ်များကို တွေ့ရှိရသည်။ ဆာဗာအသစ်ကို ရှာတွေ့သောအခါ၊ ပုံမှန်ဝင်ရောက်မှု နှင့် စကားဝှက်များ ပေါင်းစပ်ထားသော အဘိဓာန်ကို ရှာဖွေသည်။ ထိန်းချုပ်မှုကို မည်သည့် node မှတဆင့် လုပ်ဆောင်နိုင်သည်၊ ၎င်းသည် botnet အော်ပရေတာများကို ဖော်ထုတ်ရန်နှင့် ပိတ်ဆို့ရန် ခက်ခဲစေသည်။

သုတေသီများအဆိုအရ botnet တွင် တက္ကသိုလ်များစွာနှင့် မီးရထားကုမ္ပဏီကြီးတစ်ခု၏ ဆာဗာများအပါအဝင် node 500 ခန့်ရှိနေပြီဖြစ်သည်။ တိုက်ခိုက်မှု၏ အဓိကပစ်မှတ်များမှာ ပညာရေးအဖွဲ့အစည်းများ၊ ဆေးဘက်ဆိုင်ရာဌာနများ၊ အစိုးရအေဂျင်စီများ၊ ဘဏ်များနှင့် ဆက်သွယ်ရေးကုမ္ပဏီများ၏ ကွန်ရက်များဖြစ်ကြောင်း မှတ်သားရပါသည်။ ဆာဗာအား အပေးအယူလုပ်ပြီးနောက်၊ Monero cryptocurrency တူးဖော်ခြင်းလုပ်ငန်းစဉ်ကို ၎င်းပေါ်တွင် စုစည်းထားသည်။ သံသယရှိမဲလ်ဝဲ၏လုပ်ဆောင်ချက်ကို ဇန်နဝါရီ 2020 ကတည်းက ခြေရာခံထားသည်။

FritzFrog ၏ထူးခြားချက်မှာ ၎င်းသည် ဒေတာအားလုံးကို မှတ်ဉာဏ်ထဲတွင်သာ သိမ်းဆည်းထားခြင်းဖြစ်သည်။ ဒစ်ခ်ပေါ်ရှိ ပြောင်းလဲမှုများသည် နောက်ပိုင်းတွင် ဆာဗာသို့ဝင်ရောက်ရန်အသုံးပြုသည့် authorized_keys ဖိုင်သို့ SSH သော့အသစ်တစ်ခုထည့်ခြင်းသာဖြစ်သည်။ စနစ်ဖိုင်များကို မပြောင်းလဲပါ၊ ၎င်းသည် checksums ကိုအသုံးပြု၍ ခိုင်မာမှုကိုစစ်ဆေးသည့်စနစ်များတွင် worm ကိုမမြင်နိုင်ပါ။ Memory သည် P2P ပရိုတိုကောကို အသုံးပြု၍ node များကြားတွင် ထပ်တူပြုထားသည့် သတ္တုတူးဖော်ခြင်းအတွက် ရိုင်းစိုင်းသော စကားဝှက်များနှင့် ဒေတာများအတွက် အဘိဓာန်များကို သိမ်းဆည်းထားသည်။

အန္တရာယ်ရှိသော အစိတ်အပိုင်းများကို ifconfig၊ libexec၊ php-fpm နှင့် nginx လုပ်ငန်းစဉ်များအဖြစ် ဖုံးကွယ်ထားသည်။ Botnet nodes များသည် ၎င်းတို့၏အိမ်နီးနားချင်းများ၏ အခြေအနေကို စောင့်ကြည့်ပြီး ဆာဗာကို ပြန်လည်စတင်ပါက သို့မဟုတ် OS ကိုပင် ပြန်လည်ထည့်သွင်းပါက (မွမ်းမံထားသော authorized_keys ဖိုင်ကို စနစ်အသစ်သို့ လွှဲပြောင်းခဲ့လျှင်) ၎င်းတို့သည် host တွင် အန္တရာယ်ရှိသော အစိတ်အပိုင်းများကို ပြန်လည်အသက်သွင်းပါသည်။ ဆက်သွယ်ရေးအတွက်၊ ပုံမှန် SSH ကို အသုံးပြုသည် - Malware သည် localhost interface နှင့် ချိတ်ဆက်ပြီး ချိတ်ဆက်ရန် authorized_keys မှသော့ကို အသုံးပြုကာ ချိတ်ဆက်ရန် authorized_keys မှသော့ကို အသုံးပြု၍ ပြင်ပလက်ခံဆောင်ရွက်ပေးသည့် SSH ဥမင်လိုဏ်ခေါင်းမှတဆင့် ဝင်ရောက်ကြည့်ရှုသည့် port 1234 တွင် အသွားအလာကို နားထောင်သည်။

FritzFrog အစိတ်အပိုင်းကုဒ်ကို Go တွင်ရေးထားပြီး multi-threaded မုဒ်တွင်အလုပ်လုပ်သည်။ Malware တွင် မတူညီသော threads များတွင် အလုပ်လုပ်သော module များစွာပါဝင်သည်-

• Cracker - တိုက်ခိုက်ခံရသော ဆာဗာများတွင် စကားဝှက်များကို ရှာဖွေသည်။
• CryptoComm + Parser - ကုဒ်ဝှက်ထားသော P2P ချိတ်ဆက်မှုကို စီစဉ်ပေးသည်။
• CastVotes သည် တိုက်ခိုက်ရန်အတွက် ပစ်မှတ်အိမ်ရှင်များကို ပူးတွဲရွေးချယ်ခြင်းအတွက် ယန္တရားတစ်ခုဖြစ်သည်။
• TargetFeed - အိမ်နီးချင်း node များမှ တိုက်ခိုက်ရန် node စာရင်းကို လက်ခံရရှိသည် ။
• DeployMgmt သည် အန္တရာယ်ရှိသော ကုဒ်များကို အပေးအယူလုပ်ထားသော ဆာဗာသို့ ဖြန့်ဝေပေးသည့် worm ၏ အကောင်အထည်ဖော်မှုတစ်ခုဖြစ်သည်။
• ပိုင်ဆိုင်သည် - အန္တရာယ်ရှိသောကုဒ်ကို အသုံးပြုပြီးသော ဆာဗာများသို့ ချိတ်ဆက်ရန်အတွက် တာဝန်ရှိသည်။
• Assemble - သီးခြား လွှဲပြောင်းထားသော ဘလောက်များမှ ဖိုင်တစ်ခုကို မမ်မိုရီတွင် စုစည်းသည်။
• Antivir - CPU ရင်းမြစ်များကိုစားသုံးသည့် string “xmr” ဖြင့် ယှဉ်ပြိုင်နေသော malware ကို နှိမ်နင်းရန် မော်ဂျူးတစ်ခု။
• Libexec သည် Monero cryptocurrency တူးဖော်ခြင်းအတွက် module တစ်ခုဖြစ်သည်။

FritzFrog တွင်အသုံးပြုသည့် P2P ပရိုတိုကောသည် nodes များကြားဒေတာများလွှဲပြောင်းခြင်း၊ script များအသုံးပြုခြင်း၊ malware အစိတ်အပိုင်းများကိုလွှဲပြောင်းခြင်း၊ မဲရုံအခြေအနေ၊ မှတ်တမ်းများဖလှယ်ခြင်း၊ proxies စတင်ခြင်းစသည်ဖြင့်လုပ်ဆောင်သော command 30 ခန့်ကိုပံ့ပိုးပေးပါသည်။ အချက်အလက်များကို JSON ဖော်မတ်ဖြင့် အမှတ်စဉ်ပြုလုပ်ခြင်းဖြင့် သီးခြား ကုဒ်ဝှက်ထားသော ချန်နယ်တစ်ခုမှ ပေးပို့ပါသည်။ ကုဒ်ဝှက်ခြင်းသည် မညီမျှသော AES cipher နှင့် Base64 ကုဒ်နံပါတ်ကို အသုံးပြုသည်။ DH ပရိုတိုကောကို သော့လဲလှယ်မှုအတွက် အသုံးပြုသည် (diffie-helman) အခြေအနေကို ဆုံးဖြတ်ရန် node များသည် ping တောင်းဆိုမှုများကို အဆက်မပြတ် ဖလှယ်ကြသည်။

botnet node များအားလုံးသည် တိုက်ခိုက်ခံရပြီး အပေးအယူခံရသောစနစ်များအကြောင်း အချက်အလက်များပါရှိသော ဖြန့်ဝေထားသောဒေတာဘေ့စ်ကို ထိန်းသိမ်းထားသည်။ တိုက်ခိုက်မှုပစ်မှတ်များကို botnet တစ်လျှောက်လုံး တစ်ပြိုင်တည်းလုပ်ဆောင်သည် - node တစ်ခုစီသည် သီးခြားပစ်မှတ်ကို တိုက်ခိုက်သည်၊ ဆိုလိုသည်မှာ၊ မတူညီသော botnet node နှစ်ခုသည် တူညီသော host ကို တိုက်ခိုက်မည်မဟုတ်ပါ။ Node များသည် အခမဲ့ memory size၊ uptime၊ CPU load နှင့် SSH login လုပ်ဆောင်မှုများကဲ့သို့သော အိမ်နီးချင်းများသို့ ဒေသတွင်း စာရင်းအင်းများကို စုဆောင်းပြီး ပို့လွှတ်ပါသည်။ သတ္တုတူးဖော်ခြင်းလုပ်ငန်းစဉ်ကို စတင်ရန် သို့မဟုတ် အခြားစနစ်များကို တိုက်ခိုက်ရန်အတွက်သာ node ကိုအသုံးပြုခြင်းရှိမရှိ ဆုံးဖြတ်ရန် ဤအချက်အလက်ကို အသုံးပြုသည် (ဥပမာ၊ သတ္တုတွင်းသည် တင်ထားသောစနစ်များ သို့မဟုတ် မကြာခဏ စီမံခန့်ခွဲသူချိတ်ဆက်မှုများရှိသော စနစ်များတွင် မိုင်းတွင်းမစတင်ပါ)။

FritzFrog ကိုဖော်ထုတ်ရန်၊ သုတေသီများသည် ရိုးရှင်းသောနည်းလမ်းတစ်ခုကို အဆိုပြုခဲ့သည်။ shell script ပါ။. စနစ်ပျက်စီးမှုကိုဆုံးဖြတ်ရန်
port 1234 တွင် နားထောင်ခြင်းချိတ်ဆက်မှုရှိနေခြင်းကဲ့သို့သော လက္ခဏာများ အန္တရာယ်ရှိသောသော့ authorized_keys တွင် (တူညီသော SSH သော့ကို node အားလုံးတွင် ထည့်သွင်းထားသည်) နှင့် ဆက်စပ်လုပ်ဆောင်နိုင်သော ဖိုင်များမရှိသော “ifconfig”, “libexec”, “/proc/ /exe" သည် အဝေးထိန်းဖိုင်ကိုညွှန်ပြသည်)။ Monero cryptocurrency ကို တူးဖော်နေစဉ်အတွင်း malware သည် ပုံမှန် pool web.xmrpool.eu ကို ဝင်ရောက်သည့်အခါ ပေါ်ပေါက်လာနိုင်သည့် network port 5555 တွင် traffic ရှိနေခြင်းဖြစ်နိုင်သည် ။

source: opennet.ru