ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > FritzFrog පණුවා හඳුනාගෙන ඇති අතර, SSH හරහා සේවාදායකයන් ආසාදනය කර විමධ්‍යගත botnet එකක් ගොඩනගා ඇත.

FritzFrog පණුවා හඳුනාගෙන ඇති අතර, SSH හරහා සේවාදායකයන් ආසාදනය කර විමධ්‍යගත botnet එකක් ගොඩනගා ඇත.

Guardicore සමාගම, දත්ත මධ්‍යස්ථාන සහ වලාකුළු පද්ධති ආරක්‍ෂා කිරීම සඳහා විශේෂීකරණය වී ඇත. අනාවරණය කළේය FritzFrog, Linux මත පදනම් වූ සේවාදායකයන්ට පහර දෙන නව අධි තාක්‍ෂණික අනිෂ්ට මෘදුකාංගයකි. FritzFrog විසින් විවෘත SSH පෝට් එකක් සහිත සේවාදායකයන් වෙත තිරිසන් ප්‍රහාරයක් හරහා පැතිරෙන පණුවෙකු සහ පාලන නෝඩ් නොමැතිව ක්‍රියා කරන සහ අසාර්ථක වීමේ කිසිදු ලක්ෂ්‍යයක් නොමැති විමධ්‍යගත බොට්නෙට් එකක් තැනීමට සංරචක ඒකාබද්ධ කරයි.

බොට්නෙට් එකක් තැනීම සඳහා, හිමිකාර P2P ප්‍රොටෝකෝලයක් භාවිතා කරනු ලැබේ, එහි නෝඩ් එකිනෙක සමඟ අන්තර් ක්‍රියා කරයි, ප්‍රහාර සංවිධානය කිරීම සම්බන්ධීකරණය කරයි, ජාලයේ ක්‍රියාකාරිත්වයට සහාය වේ සහ එකිනෙකාගේ තත්ත්වය නිරීක්ෂණය කරයි. SSH හරහා ඉල්ලීම් පිළිගන්නා සේවාදායකයන්ට තිරිසන් ප්‍රහාරයක් එල්ල කිරීමෙන් නව වින්දිතයින් සොයා ගැනේ. නව සේවාදායකයක් අනාවරණය වූ විට, පිවිසුම් සහ මුරපදවල සාමාන්‍ය සංයෝජනවල ශබ්දකෝෂයක් සොයනු ලැබේ. ඕනෑම නෝඩයක් හරහා පාලනය සිදු කළ හැකි අතර එමඟින් බොට්නෙට් ක්‍රියාකරුවන් හඳුනා ගැනීම සහ අවහිර කිරීම අපහසු වේ.

පර්යේෂකයන්ට අනුව, botnet සතුව දැනටමත් විශ්ව විද්‍යාල කිහිපයක සේවාදායකයන් සහ විශාල දුම්රිය සමාගමක් ඇතුළුව නෝඩ් 500 ක් පමණ ඇත. ප්‍රහාරයේ ප්‍රධාන ඉලක්ක වන්නේ අධ්‍යාපන ආයතන, වෛද්‍ය මධ්‍යස්ථාන, රාජ්‍ය ආයතන, බැංකු සහ විදුලි සංදේශ සමාගම් ජාල බව සටහන් වේ. සේවාදායකය සම්මුතියකට ලක් වූ පසු, Monero cryptocurrency කැණීමේ ක්‍රියාවලිය එය සංවිධානය කර ඇත. අදාළ අනිෂ්ට මෘදුකාංගයේ ක්‍රියාකාරකම් 2020 ජනවාරි මාසයේ සිට සොයා ගෙන ඇත.

FritzFrog හි ඇති විශේෂත්වය නම් එය සියළුම දත්ත සහ ක්‍රියාත්මක කළ හැකි කේතය මතකයේ පමණක් තබා ගැනීමයි. තැටියේ වෙනස්කම් සමන්විත වන්නේ, පසුව සේවාදායකයට ප්‍රවේශ වීමට භාවිතා කරන, authorized_keys ගොනුවට නව SSH යතුරක් එක් කිරීම පමණි. පද්ධති ගොනු වෙනස් නොවේ, එමඟින් චෙක්සම් භාවිතයෙන් අඛණ්ඩතාව පරීක්ෂා කරන පද්ධතිවලට පණුවා නොපෙනී යයි. P2P ප්‍රොටෝකෝලය භාවිතයෙන් නෝඩ් අතර සමමුහුර්ත කර ඇති බෲට්-ෆෝස් කිරීමේ මුරපද සහ පතල් කැණීම සඳහා දත්ත සඳහා ශබ්දකෝෂ ද මතකය ගබඩා කරයි.

අනිෂ්ට සංරචක ifconfig, libexec, php-fpm සහ nginx ක්‍රියාවලි ලෙස සැඟවී ඇත. Botnet nodes ඔවුන්ගේ අසල්වාසීන්ගේ තත්ත්වය නිරීක්ෂණය කරන අතර, සේවාදායකය නැවත ආරම්භ කර ඇත්නම් හෝ OS නැවත ස්ථාපනය කර ඇත්නම් (නවීකරණය කරන ලද authorized_keys ගොනුවක් නව පද්ධතියට මාරු කර ඇත්නම්), ඒවා සත්කාරකයේ අනිෂ්ට සංරචක නැවත සක්‍රිය කරයි. සන්නිවේදනය සඳහා, සම්මත SSH භාවිතා වේ - අනිෂ්ට මෘදුකාංගය ඊට අමතරව දේශීය සත්කාරක අතුරුමුහුණතට සම්බන්ධ වන දේශීය “netcat” දියත් කරන අතර 1234 වරායේ ගමනාගමනයට සවන් දෙයි, එය SSH උමං මාර්ගයක් හරහා බාහිර සත්කාරක ප්‍රවේශය ලබා දෙයි, සම්බන්ධ වීමට බලයලත්_කීස් යතුරක් භාවිතා කරයි.

FritzFrog පණුවා හඳුනාගෙන ඇති අතර, SSH හරහා සේවාදායකයන් ආසාදනය කර විමධ්‍යගත botnet එකක් ගොඩනගා ඇත.

FritzFrog සංරචක කේතය Go හි ලියා ඇති අතර බහු-නූල් ආකාරයෙන් ධාවනය වේ. අනිෂ්ට මෘදුකාංගයට විවිධ නූල් වල ක්‍රියාත්මක වන මොඩියුල කිහිපයක් ඇතුළත් වේ:

  • ක්‍රැකර් - ප්‍රහාරයට ලක් වූ සර්වර් වල මුරපද සෙවීම.
  • CryptoComm + Parser - සංකේතාත්මක P2P සම්බන්ධතාවයක් සංවිධානය කරයි.
  • CastVotes යනු ප්‍රහාරය සඳහා ඉලක්ක ධාරක ඒකාබද්ධව තෝරා ගැනීමේ යාන්ත්‍රණයකි.
  • TargetFeed - අසල්වැසි නෝඩ් වලින් පහර දීමට නෝඩ් ලැයිස්තුවක් ලැබේ.
  • DeployMgmt යනු සම්මුතියට පත් සේවාදායකයකට අනිෂ්ට කේතය බෙදා හරින පණුවෙකුගේ ක්‍රියාවකි.
  • අයිති - දැනටමත් අනිෂ්ට කේතය ධාවනය වන සේවාදායකයන් වෙත සම්බන්ධ කිරීම සඳහා වගකිව යුතු ය.
  • එකලස් කරන්න - වෙන වෙනම මාරු කළ බ්ලොක් වලින් ගොනුවක් මතකයේ එකලස් කරයි.
  • Antivir - තරඟකාරී අනිෂ්ට මෘදුකාංග මැඩපැවැත්වීම සඳහා වූ මොඩියුලයක්, CPU සම්පත් පරිභෝජනය කරන "xmr" තන්තුව සමඟ ක්‍රියාවලීන් හඳුනාගෙන අවසන් කරයි.
  • Libexec යනු Monero cryptocurrency කැණීමේ මොඩියුලයකි.

FritzFrog හි භාවිතා වන P2P ප්‍රොටෝකෝලය නෝඩ් අතර දත්ත මාරු කිරීම, ස්ක්‍රිප්ට් ධාවනය කිරීම, අනිෂ්ට මෘදුකාංග සංරචක මාරු කිරීම, ඡන්ද තත්ත්වය, ලඝු-සටහන් හුවමාරු කිරීම, ප්‍රොක්සි දියත් කිරීම යනාදිය සඳහා වගකිව යුතු විධාන 30 කට පමණ සහය දක්වයි. JSON ආකෘතියෙන් අනුක්‍රමිකකරණය සහිත වෙනම සංකේතාත්මක නාලිකාවක් හරහා තොරතුරු සම්ප්‍රේෂණය කෙරේ. සංකේතනය අසමමිතික AES කේතාංකය සහ Base64 කේතනය භාවිතා කරයි. යතුරු හුවමාරුව සඳහා DH ප්‍රොටෝකෝලය භාවිතා කරයි (ඩිෆි-හෙල්මන්) තත්වය තීරණය කිරීම සඳහා, නෝඩ් නිරන්තරයෙන් පිං ඉල්ලීම් හුවමාරු කරයි.

සියලුම botnet නෝඩ් ප්‍රහාරයට ලක් වූ සහ සම්මුතියට පත් වූ පද්ධති පිළිබඳ තොරතුරු සහිත බෙදා හරින ලද දත්ත සමුදායක් පවත්වාගෙන යයි. ප්‍රහාර ඉලක්ක botnet පුරා සමමුහුර්ත කර ඇත - සෑම node එකක්ම වෙනම ඉලක්කයකට පහර දෙයි, i.e. විවිධ botnet nodes දෙකක් එකම ධාරකයට පහර නොදෙනු ඇත. නෝඩ් නොමිලේ මතක ප්‍රමාණය, අතිකාල, CPU භාරය සහ SSH ඇතුළු වීමේ ක්‍රියාකාරකම් වැනි දේශීය සංඛ්‍යාලේඛන අසල්වැසියන්ට එකතු කර සම්ප්‍රේෂණය කරයි. පතල් කැණීමේ ක්‍රියාවලිය ආරම්භ කරන්නේද නැතහොත් වෙනත් පද්ධති වලට පහර දීමට පමණක් නෝඩය භාවිතා කරන්නේද යන්න තීරණය කිරීමට මෙම තොරතුරු භාවිතා කරයි (උදාහරණයක් ලෙස, පටවන ලද පද්ධති හෝ නිරන්තර පරිපාලක සම්බන්ධතා ඇති පද්ධති මත පතල් කැණීම ආරම්භ නොවේ).

FritzFrog හඳුනාගැනීම සඳහා පර්යේෂකයන් සරල ක්රමයක් යෝජනා කර ඇත shell පිටපත. පද්ධතියේ හානිය තීරණය කිරීම සඳහා
1234 වරායේ සවන්දීමේ සම්බන්ධතාවයක් තිබීම, පැමිණීම වැනි සංඥා අනිෂ්ට යතුර authorized_keys හි (සියලු නෝඩ් වල එකම SSH යතුර ස්ථාපනය කර ඇත) සහ සම්බන්ධිත ක්‍රියාත්මක කළ හැකි ගොනු නොමැති "ifconfig", "libexec", "php-fpm" සහ "nginx" ක්‍රියාවලි මතකයේ තිබීම ("/proc/ /exe" දුරස්ථ ගොනුවකට යොමු කරයි). Monero cryptocurrency පතල් කැණීමේදී අනිෂ්ට මෘදුකාංග සාමාන්‍ය සංචිතය web.xmrpool.eu වෙත ප්‍රවේශ වන විට සිදු වන ජාල වරාය 5555 හි ගමනාගමනය පැවතීම ද ලකුණක් විය හැකිය.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න