گارڊيڪور ڪمپني، ڊيٽا سينٽرز ۽ ڪلائوڊ سسٽم جي تحفظ ۾ ماهر، FritzFrog، هڪ نئون هاءِ ٽيڪ مالويئر جيڪو حملو ڪري ٿو لينڪس تي ٻڌل سرورز. FritzFrog هڪ ورم کي گڏ ڪري ٿو جيڪو هڪ کليل SSH بندرگاهه سان سرورز تي برٽ فورس حملي ذريعي پکڙجي ٿو، ۽ هڪ غير مرڪزي بوٽنيٽ ٺاهڻ لاءِ اجزاء جيڪي ڪنٽرول نوڊس کان سواءِ هلن ٿا ۽ ناڪامي جو ڪو به نقطو ناهي.
هڪ botnet ٺاهڻ لاء، هڪ ملڪيت P2P پروٽوڪول استعمال ڪيو ويندو آهي، جنهن ۾ نوڊس هڪ ٻئي سان لهه وچڙ ۾، حملن جي تنظيم کي همٿائي، نيٽ ورڪ جي آپريشن کي سپورٽ ڪرڻ ۽ هڪ ٻئي جي حيثيت جي نگراني ڪن ٿا. نون متاثرين کي سرورز تي برٽ فورس حملو ڪرڻ سان مليا آهن جيڪي SSH ذريعي درخواستون قبول ڪن ٿا. جڏهن هڪ نئون سرور معلوم ٿئي ٿو، لاگ ان ۽ پاسورڊ جي عام مجموعن جي هڪ لغت ڳولهي ويندي آهي. ڪنٽرول ڪنهن به نوڊ ذريعي ٿي سگهي ٿو، جيڪو botnet آپريٽرز کي سڃاڻڻ ۽ بلاڪ ڪرڻ ڏکيو بڻائي ٿو.
محققن جي مطابق، botnet اڳ ۾ ئي اٽڪل 500 نوڊس آهن، جن ۾ ڪيترن ئي يونيورسٽين جا سرور ۽ هڪ وڏي ريلوي ڪمپني شامل آهن. ياد رهي ته حملي جو بنيادي مقصد تعليمي ادارن جا نيٽ ورڪ، طبي مرڪز، سرڪاري ادارا، بئنڪ ۽ ٽيلي ڪميونيڪيشن ڪمپنيون آهن. سرور سان ٺاهه ٿيڻ کان پوء، مونرو cryptocurrency کان کني جو عمل ان تي منظم ڪيو ويو آهي. سوال ۾ مالويئر جي سرگرمي جنوري 2020 کان معلوم ڪئي وئي آهي.
FritzFrog جي خاص ڳالهه اها آهي ته اهو سمورو ڊيٽا ۽ ايگزيڪيوٽو ڪوڊ صرف ميموري ۾ رکي ٿو. ڊسڪ تي تبديليون صرف اختيار ٿيل_ڪيز فائل ۾ نئين SSH ڪيچ شامل ڪرڻ تي مشتمل هونديون آهن، جيڪو بعد ۾ سرور تائين رسائي ڪرڻ لاءِ استعمال ڪيو ويندو آهي. سسٽم فائلن کي تبديل نه ڪيو ويو آهي، جيڪو ڪيم کي سسٽم ڏانهن پوشيده ڪري ٿو جيڪو چيڪمس استعمال ڪندي سالميت جي جانچ ڪري ٿو. ميموري پڻ ڊڪشنري کي محفوظ ڪري ٿي برٽ-فورسنگ پاس ورڊز ۽ ڊيٽا کان کني لاءِ، جيڪي P2P پروٽوڪول استعمال ڪندي نوڊس جي وچ ۾ هم وقت ساز ٿين ٿيون.
خراب اجزاء کي ڇڪايو ويو آهي جيئن ifconfig، libexec، php-fpm ۽ nginx پروسيس. Botnet نوڊس انهن جي پاڙيسرين جي حيثيت جي نگراني ڪن ٿا ۽، جيڪڏهن سرور ريبوٽ ڪيو ويو آهي يا او ايس کي ٻيهر نصب ڪيو ويو آهي (جيڪڏهن هڪ تبديل ٿيل مجاز_ڪيز فائل نئين سسٽم ڏانهن منتقل ڪئي وئي هئي)، اهي ميزبان تي بدسلوڪي اجزاء کي ٻيهر چالو ڪندا آهن. ڪميونيڪيشن لاءِ، معياري SSH استعمال ڪيو ويندو آهي - مالويئر اضافي طور تي هڪ مقامي "netcat" شروع ڪري ٿو جيڪو لوڪل هوسٽ انٽرفيس سان جڙيل آهي ۽ بندرگاهه 1234 تي ٽريفڪ کي ٻڌي ٿو، جيڪو ٻاهرين ميزبانن کي SSH سرنگ ذريعي رسائي ٿو، مجاز_ڪيز مان ڪني استعمال ڪندي ڪنيڪٽ ڪرڻ لاءِ.
FritzFrog جزو ڪوڊ Go ۾ لکيل آهي ۽ ملٽي ٿريڊ موڊ ۾ هلندو آهي. مالويئر ۾ ڪيترائي ماڊل شامل آهن جيڪي مختلف موضوعن ۾ هلن ٿا:
- Cracker - حملو ٿيل سرورز تي پاسورڊ ڳولي ٿو.
- CryptoComm + Parser - منظم ڪري ٿو هڪ مرڪوز ٿيل P2P ڪنيڪشن.
- CastVotes هڪ ميکانيزم آهي گڏيل طور تي حملي لاءِ ٽارگيٽ ميزبان کي چونڊڻ لاءِ.
- TargetFeed - پاڙيسري نوڊس کان حملو ڪرڻ لاءِ نوڊس جي لسٽ حاصل ڪري ٿي.
- DeployMgmt هڪ ڪيم جو هڪ نفاذ آهي جيڪو بدسلوڪي ڪوڊ ورهائي ٿو سمجهي سرور ڏانهن.
- مالڪ - سرور سان ڳنڍڻ جو ذميوار جيڪي اڳ ۾ ئي بدسلوڪي ڪوڊ هلائي رهيا آهن.
- گڏ ڪرڻ - ميموري ۾ فائل کي الڳ الڳ منتقل ٿيل بلاڪ کان گڏ ڪري ٿو.
- Antivir - مقابلي واري مالويئر کي دٻائڻ لاءِ هڪ ماڊل، "xmr" سان پروسيس کي سڃاڻي ٿو ۽ ختم ڪري ٿو جيڪو CPU وسيلن کي استعمال ڪري ٿو.
- Libexec Monero cryptocurrency کان کني لاء هڪ ماڊل آهي.
FritzFrog ۾ استعمال ٿيل P2P پروٽوڪول اٽڪل 30 حڪمن جي حمايت ڪري ٿو جيڪي نوڊس جي وچ ۾ ڊيٽا جي منتقلي، اسڪرپٽ هلائڻ، مالويئر اجزاء جي منتقلي، پولنگ اسٽيٽس، لاگز جي تبادلي، پراکسيز لانچ ڪرڻ وغيره وغيره. معلومات JSON فارميٽ ۾ سيريلائيزيشن سان هڪ الڳ انڪرپٽ ٿيل چينل تي منتقل ڪئي وئي آهي. انڪرپشن استعمال ڪري ٿو غير متناسب AES سائفر ۽ بيس 64 انڪوڊنگ. DH پروٽوڪول اهم مٽاسٽا لاءِ استعمال ٿيندو آهي (). رياست کي طئي ڪرڻ لاء، نوڊس مسلسل پنگ جي درخواستن کي تبديل ڪري ٿو.
سڀئي botnet نوڊس هڪ ورهايل ڊيٽابيس کي برقرار رکي ٿو حملي ۽ سمجھوتي نظام بابت معلومات سان. حملي جا مقصد سڄي botnet ۾ هم وقت سازي ڪيا ويا آهن - هر نوڊ هڪ الڳ ٽارگيٽ تي حملو ڪري ٿو، يعني. ٻه مختلف botnet نوڊس ساڳئي ميزبان تي حملو نه ڪندا. نوڊس مقامي انگ اکر گڏ ڪري ۽ منتقل ڪن ٿا پاڙيسرين ڏانهن، جهڙوڪ مفت ميموري سائيز، اپ ٽائم، سي پي يو لوڊ، ۽ SSH لاگ ان سرگرمي. اها معلومات فيصلو ڪرڻ لاءِ استعمال ڪئي ويندي آهي ته ڇا کان کني جي عمل کي شروع ڪيو وڃي يا نوڊ کي صرف ٻين سسٽم تي حملو ڪرڻ لاءِ استعمال ڪيو وڃي (مثال طور، مائننگ لوڊ ٿيل سسٽم تي شروع نه ٿيندي آهي يا بار بار ايڊمنسٽريٽر ڪنيڪشن سان سسٽم).
FritzFrog جي سڃاڻپ ڪرڻ لاء، محقق هڪ سادي تجويز ڪيو آهي . سسٽم جي نقصان جو اندازو لڳائڻ لاء
نشانيون جهڙوڪ بندرگاهه 1234 تي ٻڌڻ واري ڪنيڪشن جي موجودگي، موجودگي مجاز_ڪيز ۾ (ساڳئي SSH ڪيئي سڀني نوڊس تي نصب ٿيل آهي) ۽ هلندڙ عملن جي ياداشت ۾ موجودگي "ifconfig"، "libexec"، "php-fpm" ۽ "nginx" جيڪي لاڳاپيل فائلون نه آهن ("/proc/" /exe" ريموٽ فائل ڏانهن اشارو ڪري ٿو). هڪ نشاني نيٽ ورڪ پورٽ 5555 تي ٽريفڪ جي موجودگي پڻ ٿي سگهي ٿي، جيڪو تڏهن ٿئي ٿو جڏهن مالويئر عام پول web.xmrpool.eu تائين رسائي ڪري ٿو Monero cryptocurrency جي مائننگ دوران.
جو ذريعو: opennet.ru