Guardicore áá¯áá¹ááá®ááẠáá±áá¬á
ááºáá¬áá»á¬ážááŸáá·áº cloud á
áá
áºáá»á¬ážááᯠáá¬ááœááºáá±ážááœáẠá¡áá°ážááŒá¯á
botnet áá áºáá¯áááºáá±á¬ááºáááºá áá®ážááá·áº P2P áááá¯ááá¯áá±á¬ááᯠá¡áá¯á¶ážááŒá¯ááŒá®áž node áá»á¬ážá¡áá»ááºážáá»ááºáž á¡ááŒááºá¡ááŸáẠáá¯á¶á·ááŒááºááŸá¯á ááá¯ááºááá¯ááºááŸá¯áá»á¬ážá á¡ááœá²á·á¡á ááºážááᯠááŸáááŸáá¯ááºážáááºá ááœááºáááºá áááºáááºááŸá¯ááᯠáá¶á·ááá¯ážáááºááŸáá·áº á¡áá»ááºážáá»ááºážá á¡ááŒá±á¡áá±ááᯠá á±á¬áá·áºááŒáá·áºá á áºáá±ážááá·áº á¡áá±ááŒáá·áº á¡áá¯á¶ážááŒá¯áá«áááºá SSH ááŸáá áºááá·áº áá±á¬ááºážááá¯ááŸá¯áá»á¬ážááᯠáááºáá¶ááá·áº áá¬áá¬áá»á¬ážáá±á«áºááœáẠbruteforce ááá¯ááºááá¯ááºááŸá¯ ááŒá¯áá¯ááºááŒááºážááŒáá·áº áá¬ážáá±á¬ááºá¡áá áºáá»á¬ážááᯠááœá±á·ááŸáááááºá áá¬áá¬á¡áá áºááᯠááŸá¬ááœá±á·áá±á¬á¡áá«á áá¯á¶ááŸááºáááºáá±á¬ááºááŸá¯ ááŸáá·áº á áá¬ážááŸááºáá»á¬áž áá±á«ááºážá ááºáá¬ážáá±á¬ á¡áááá¬ááºááᯠááŸá¬ááœá±áááºá ááááºážáá»á¯ááºááŸá¯ááᯠáááºááá·áº node ááŸáááá·áº áá¯ááºáá±á¬ááºááá¯ááºáááºá áááºážááẠbotnet á¡á±á¬áºááá±áá¬áá»á¬ážááᯠáá±á¬áºáá¯ááºáááºááŸáá·áº ááááºááá¯á·ááẠáááºáá²á á±áááºá
áá¯áá±áá®áá»á¬ážá¡ááá¯á¡á botnet ááœáẠááá¹áááá¯ááºáá»á¬ážá áœá¬ááŸáá·áº áá®ážááá¬ážáá¯áá¹ááá®ááŒá®ážáá áºáá¯á áá¬áá¬áá»á¬ážá¡áá«á¡ááẠnode 500 ááá·áºááŸááá±ááŒá®ááŒá áºáááºá ááá¯ááºááá¯ááºááŸá¯á á¡ááááá áºááŸááºáá»á¬ážááŸá¬ ááá¬áá±ážá¡ááœá²á·á¡á ááºážáá»á¬ážá áá±ážáááºááá¯ááºáá¬áá¬ááá»á¬ážá á¡á áá¯ážáá¡á±áá»ááºá á®áá»á¬ážá áááºáá»á¬ážááŸáá·áº áááºááœááºáá±ážáá¯áá¹ááá®áá»á¬ážá ááœááºáááºáá»á¬ážááŒá áºááŒá±á¬ááºáž ááŸááºáá¬ážááá«áááºá áá¬áá¬á¡á¬áž á¡áá±ážá¡áá°áá¯ááºááŒá®ážáá±á¬ááºá Monero cryptocurrency áá°ážáá±á¬áºááŒááºážáá¯ááºáááºážá ááºááᯠáááºážáá±á«áºááœáẠá á¯á ááºážáá¬ážáááºá áá¶ááááŸááá²ááºáá²ááá¯ááºáá±á¬ááºáá»ááºááᯠáááºááá«áá® 2020 ááááºážá ááŒá±áá¬áá¶áá¬ážáááºá
FritzFrog ááá°ážááŒá¬ážáá»ááºááŸá¬ áááºážááẠáá±áá¬á¡á¬ážáá¯á¶ážááᯠááŸááºáá¬ááºáá²ááœááºáᬠááááºážáááºážáá¬ážááŒááºážááŒá áºáááºá áá áºááºáá±á«áºááŸá ááŒá±á¬ááºážáá²ááŸá¯áá»á¬ážááẠáá±á¬ááºááá¯ááºážááœáẠáá¬áá¬ááá¯á·áááºáá±á¬ááºáááºá¡áá¯á¶ážááŒá¯ááá·áº authorized_keys ááá¯ááºááá¯á· SSH áá±á¬á·á¡áá áºáá áºáá¯ááá·áºááŒááºážáá¬ááŒá áºáááºá á áá áºááá¯ááºáá»á¬ážááᯠáááŒá±á¬ááºážáá²áá«á áááºážááẠchecksums ááá¯á¡áá¯á¶ážááŒá¯á ááá¯ááºáá¬ááŸá¯ááá¯á á áºáá±ážááá·áºá áá áºáá»á¬ážááœáẠworm ááá¯áááŒááºááá¯ááºáá«á Memory ááẠP2P áááá¯ááá¯áá±á¬ááᯠá¡áá¯á¶ážááŒá¯á node áá»á¬ážááŒá¬ážááœáẠáááºáá°ááŒá¯áá¬ážááá·áº ááá¹áá¯áá°ážáá±á¬áºááŒááºážá¡ááœáẠááá¯ááºážá áá¯ááºážáá±á¬ á áá¬ážááŸááºáá»á¬ážááŸáá·áº áá±áá¬áá»á¬ážá¡ááœáẠá¡áááá¬ááºáá»á¬ážááᯠááááºážáááºážáá¬ážáááºá
á¡áá¹ááá¬ááºááŸááá±á¬ á¡á
áááºá¡ááá¯ááºážáá»á¬ážááᯠifconfigá libexecá php-fpm ááŸáá·áº nginx áá¯ááºáááºážá
ááºáá»á¬ážá¡ááŒá
Ạáá¯á¶ážááœááºáá¬ážáááºá Botnet nodes áá»á¬ážááẠáááºážááá¯á·áá¡áááºáá®ážáá¬ážáá»ááºážáá»á¬ážá á¡ááŒá±á¡áá±ááᯠá
á±á¬áá·áºááŒáá·áºááŒá®áž áá¬áá¬ááᯠááŒááºáááºá
áááºáá«á ááá¯á·ááá¯áẠOS ááá¯ááẠááŒááºáááºááá·áºááœááºážáá«á (ááœááºážáá¶áá¬ážáá±á¬ authorized_keys ááá¯ááºááᯠá
áá
áºá¡áá
áºááá¯á· ááœáŸá²ááŒá±á¬ááºážáá²á·áá»áŸááº) áááºážááá¯á·ááẠhost ááœáẠá¡áá¹ááá¬ááºááŸááá±á¬ á¡á
áááºá¡ááá¯ááºážáá»á¬ážááᯠááŒááºáááºá¡áááºááœááºážáá«áááºá áááºááœááºáá±ážá¡ááœááºá áá¯á¶ááŸáẠSSH ááᯠá¡áá¯á¶ážááŒá¯ááẠ- Malware ááẠlocalhost interface ááŸáá·áº áá»áááºáááºááŒá®áž áá»áááºáááºááẠauthorized_keys ááŸáá±á¬á·ááᯠá¡áá¯á¶ážááŒá¯áᬠáá»áááºáááºááẠauthorized_keys ááŸáá±á¬á·ááᯠá¡áá¯á¶ážááŒá¯á ááŒááºááááºáá¶áá±á¬ááºááœááºáá±ážááá·áº SSH á¥áááºááá¯ááºáá±á«ááºážááŸáááá·áº áááºáá±á¬ááºááŒáá·áºááŸá¯ááá·áº port 1234 ááœáẠá¡ááœá¬ážá¡áá¬ááᯠáá¬ážáá±á¬ááºáááºá
FritzFrog á¡á áááºá¡ááá¯ááºážáá¯ááºááᯠGo ááœááºáá±ážáá¬ážááŒá®áž multi-threaded áá¯ááºááœááºá¡áá¯ááºáá¯ááºáááºá Malware ááœáẠááá°áá®áá±á¬ threads áá»á¬ážááœáẠá¡áá¯ááºáá¯ááºáá±á¬ module áá»á¬ážá áœá¬áá«áááºáááº-
- Cracker - ááá¯ááºááá¯ááºáá¶ááá±á¬ áá¬áá¬áá»á¬ážááœáẠá áá¬ážááŸááºáá»á¬ážááᯠááŸá¬ááœá±áááºá
- CryptoComm + Parser - áá¯ááºááŸááºáá¬ážáá±á¬ P2P áá»áááºáááºááŸá¯ááᯠá á®á ááºáá±ážáááºá
- CastVotes ááẠááá¯ááºááá¯ááºáááºá¡ááœáẠáá áºááŸááºá¡áááºááŸááºáá»á¬ážááᯠáá°ážááœá²ááœá±ážáá»ááºááŒááºážá¡ááœáẠááá¹ááá¬ážáá áºáá¯ááŒá áºáááºá
- TargetFeed - á¡áááºáá®ážáá»ááºáž node áá»á¬ážá០ááá¯ááºááá¯ááºááẠnode á á¬áááºážááᯠáááºáá¶áááŸáááẠá
- DeployMgmt ááẠá¡áá¹ááá¬ááºááŸááá±á¬ áá¯ááºáá»á¬ážááᯠá¡áá±ážá¡áá°áá¯ááºáá¬ážáá±á¬ áá¬áá¬ááá¯á· ááŒáá·áºáá±áá±ážááá·áº worm á á¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯áá áºáá¯ááŒá áºáááºá
- ááá¯ááºááá¯ááºááẠ- á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºááᯠá¡áá¯á¶ážááŒá¯ááŒá®ážáá±á¬ áá¬áá¬áá»á¬ážááá¯á· áá»áááºáááºáááºá¡ááœáẠáá¬áááºááŸááááºá
- Assemble - áá®ážááŒá¬áž ááœáŸá²ááŒá±á¬ááºážáá¬ážáá±á¬ ááá±á¬ááºáá»á¬ážá០ááá¯ááºáá áºáá¯ááᯠáááºááá¯áá®ááœáẠá á¯á ááºážáááºá
- Antivir - CPU áááºážááŒá áºáá»á¬ážááá¯á á¬ážáá¯á¶ážááá·áº string âxmrâ ááŒáá·áº ááŸááºááŒáá¯ááºáá±áá±á¬ malware ááᯠááŸáááºáááºážááẠáá±á¬áºáá»á°ážáá áºáá¯á
- Libexec ááẠMonero cryptocurrency áá°ážáá±á¬áºááŒááºážá¡ááœáẠmodule áá áºáá¯ááŒá áºáááºá
FritzFrog ááœááºá¡áá¯á¶ážááŒá¯ááá·áº P2P áááá¯ááá¯áá±á¬ááẠnodes áá»á¬ážááŒá¬ážáá±áá¬áá»á¬ážááœáŸá²ááŒá±á¬ááºážááŒááºážá script áá»á¬ážá¡áá¯á¶ážááŒá¯ááŒááºážá malware á¡á
áááºá¡ááá¯ááºážáá»á¬ážááá¯ááœáŸá²ááŒá±á¬ááºážááŒááºážá áá²áá¯á¶á¡ááŒá±á¡áá±á ááŸááºáááºážáá»á¬ážáááŸááºááŒááºážá proxies á
áááºááŒááºážá
áááºááŒáá·áºáá¯ááºáá±á¬ááºáá±á¬ command 30 ááá·áºááá¯áá¶á·ááá¯ážáá±ážáá«áááºá á¡áá»ááºá¡áááºáá»á¬ážááᯠJSON áá±á¬áºáááºááŒáá·áº á¡ááŸááºá
ááºááŒá¯áá¯ááºááŒááºážááŒáá·áº áá®ážááŒá¬áž áá¯ááºááŸááºáá¬ážáá±á¬ áá»ááºáááºáá
áºáá¯á០áá±ážááá¯á·áá«áááºá áá¯ááºááŸááºááŒááºážááẠááá®áá»áŸáá±á¬ AES cipher ááŸáá·áº Base64 áá¯ááºáá¶áá«ááºááᯠá¡áá¯á¶ážááŒá¯áááºá DH áááá¯ááá¯áá±á¬ááᯠáá±á¬á·áá²ááŸááºááŸá¯á¡ááœáẠá¡áá¯á¶ážááŒá¯ááẠ(
botnet node áá»á¬ážá¡á¬ážáá¯á¶ážááẠááá¯ááºááá¯ááºáá¶áááŒá®áž á¡áá±ážá¡áá°áá¶ááá±á¬á áá áºáá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºáá»á¬ážáá«ááŸááá±á¬ ááŒáá·áºáá±áá¬ážáá±á¬áá±áá¬áá±á·á áºááᯠááááºážááááºážáá¬ážáááºá ááá¯ááºááá¯ááºááŸá¯áá áºááŸááºáá»á¬ážááᯠbotnet áá áºáá»áŸá±á¬ááºáá¯á¶áž áá áºááŒáá¯ááºáááºážáá¯ááºáá±á¬ááºááẠ- node áá áºáá¯á á®ááẠáá®ážááŒá¬ážáá áºááŸááºááᯠááá¯ááºááá¯ááºáááºá ááá¯ááá¯áááºááŸá¬á ááá°áá®áá±á¬ botnet node ááŸá áºáá¯ááẠáá°áá®áá±á¬ host ááᯠááá¯ááºááá¯ááºáááºááá¯ááºáá«á Node áá»á¬ážááẠá¡ááá²á· memory sizeá uptimeá CPU load ááŸáá·áº SSH login áá¯ááºáá±á¬ááºááŸá¯áá»á¬ážáá²á·ááá¯á·áá±á¬ á¡áááºáá®ážáá»ááºážáá»á¬ážááá¯á· áá±áááœááºáž á á¬áááºážá¡ááºážáá»á¬ážááᯠá á¯áá±á¬ááºážááŒá®áž ááá¯á·ááœáŸááºáá«áááºá ááá¹áá¯áá°ážáá±á¬áºááŒááºážáá¯ááºáááºážá ááºááᯠá áááºááẠááá¯á·ááá¯áẠá¡ááŒá¬ážá áá áºáá»á¬ážááᯠááá¯ááºááá¯ááºáááºá¡ááœááºáᬠnode ááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááŸááááŸá áá¯á¶ážááŒááºááẠá€á¡áá»ááºá¡áááºááᯠá¡áá¯á¶ážááŒá¯ááẠ(á¥ááá¬á ááá¹áá¯ááœááºážááẠáááºáá¬ážáá±á¬á áá áºáá»á¬áž ááá¯á·ááá¯áẠáááŒá¬áá á á®áá¶ááá·áºááœá²áá°áá»áááºáááºááŸá¯áá»á¬ážááŸááá±á¬ á áá áºáá»á¬ážááœáẠááá¯ááºážááœááºážáá áááºáá«)á
FritzFrog ááá¯áá±á¬áºáá¯ááºáááºá áá¯áá±áá®áá»á¬ážááẠááá¯ážááŸááºážáá±á¬áááºážáááºážáá
áºáá¯ááᯠá¡ááá¯ááŒá¯áá²á·áááºá
port 1234 ááœáẠáá¬ážáá±á¬ááºááŒááºážáá»áááºáááºááŸá¯ááŸááá±ááŒááºážáá²á·ááá¯á·áá±á¬ ááá¹ááá¬áá»á¬áž
source: opennet.ru