Kamupani a Guardicore, fa'apitoa i le puipuiga o nofoaga autu o fa'amaumauga ma faiga ao, FritzFrog, ose mea fou faʻatekonolosi fou e osofaʻia faʻaumau faʻavae Linux. FritzFrog tu'ufa'atasia se anufe e sosolo e ala i se osofa'iga fa'amalosi i luga o 'au'aunaga ma se SSH uafu matala, ma vaega e fausia ai se botnet decentralized lea e fa'agaoioia e aunoa ma ni nodes pulea ma e leai se mea e tasi o le toilalo.
Mo le fausiaina o se botnet, o loʻo faʻaaogaina se faʻasalalauga P2P, lea e fegalegaleai ai nodes ma isi, faʻamaopoopo le faʻatulagaina o osofaʻiga, lagolago le faʻaogaina o le fesoʻotaʻiga ma mataʻituina le tulaga o le tasi. O tagata fou ua afaina e maua e ala i le faia o se osofaʻiga faʻamalosi i luga o sapalai e talia talosaga e ala i le SSH. A maua se server fou, e su'e se lomifefiloi o tu'ufa'atasiga masani o logins ma upu fa'aulu. E mafai ona faʻatinoina le pulea e ala i soʻo se node, lea e faigata ai ona iloa ma poloka tagata faʻapipiʻi botnet.
E tusa ai ma le au suʻesuʻe, o le botnet ua uma ona i ai le tusa ma le 500 nodes, e aofia ai le 'auʻaunaga a le tele o iunivesite ma se kamupani nofoaafi tele. O loʻo maitauina o le autu autu o le osofaʻiga o fesoʻotaʻiga o faʻalapotopotoga aʻoaʻoga, falemaʻi, ofisa o le malo, faletupe ma kamupani fesoʻotaʻiga. A maeʻa ona faʻafefe le 'auʻaunaga, o loʻo faʻatulagaina le faagasologa o le faʻaogaina o le Monero cryptocurrency i luga. O le gaioiga a le malware o loʻo fesiligia na sailia talu mai Ianuari 2020.
O le mea fa'apitoa e uiga ia FritzFrog o lo'o teuina uma fa'amaumauga ma tulafono fa'atino na'o le manatua. Suiga i luga o le tisiki e na'o le fa'aopoopoina o se ki SSH fou i le faila fa'atagaina_keys, lea e fa'aaoga mulimuli ane e fa'aoga ai le server. E le suia faila faila, lea e le vaaia ai le anufe i faiga e siaki ai le saʻo e faʻaaoga ai siaki. E teuina fo'i e le manatua lomifefiloi mo upu fa'amalosi fa'amalosi ma fa'amaumauga mo le la'uina, lea e fa'amaopoopo i le va o nodes e fa'aaoga ai le P2P protocol.
O vaega leaga e faʻapipiʻiina e pei o le ifconfig, libexec, php-fpm ma le nginx faiga. Botnet nodes e mataʻituina le tulaga o latou tuaoi ma, afai e toe faʻafouina le server pe oʻo lava i le OS ua toe faʻapipiʻi (pe a faʻafeiloaʻi se faila faʻatagaina_keys ua suia i le faiga fou), latou te toe faʻagaoioia vaega leaga i luga o le talimalo. Mo feso'ota'iga, o lo'o fa'aogaina le SSH masani - e fa'aopoopoina e le malware se "netcat" fa'apitonu'u e fusifusia i le localhost interface ma fa'alogo i fe'avea'i i luga o le taulaga 1234, lea e fa'aogaina e 'au i fafo e ala i le SSH tunnel, e fa'aaoga ai se ki mai authorized_keys e fa'afeso'ota'i.
O le FritzFrog component code o loʻo tusia i le Go ma faʻatautaia i le tele-fila faiga. O le malware e aofia ai le tele o modules e taʻavale i filo eseese:
- Cracker - su'e upu fa'aulu i luga o 'au'aunaga osofa'i.
- CryptoComm + Parser - fa'atulagaina se feso'ota'iga P2P fa'ailoga.
- CastVotes ose faiga mo le filifilia fa'atasi o 'au fa'amoemoe mo osofa'iga.
- TargetFeed - Maua se lisi o nodes e osofa'i mai nodes tuaoi.
- DeployMgmt o se faʻatinoga o se anufe e tufatufaina atu faʻailoga leaga i se server faʻafefe.
- Owned - e nafa ma le fa'afeso'ota'i i 'au'aunaga o lo'o fa'agaoioia tulafono leaga.
- Fa'apotopoto - fa'apipi'i se faila e manatua mai poloka fa'aliliu'ese'ese.
- Antivir - o se module mo le taofiofia o faʻamaʻi faʻatauvaʻa, faʻamaonia ma faʻamutaina gaioiga i le manoa "xmr" e faʻaaoga ai punaoa CPU.
- Libexec o se module mo le faʻaogaina o le Monero cryptocurrency.
O le P2P protocol o loʻo faʻaaogaina i FritzFrog e lagolagoina e tusa ma le 30 tulafono e nafa ma le fesiitaiga o faʻamatalaga i le va o nodes, faʻasologa o tusitusiga, fesiitaiga o mea leaga, tulaga palota, fesuiaʻi ogalaau, faʻalauiloa sui, ma isi. O fa'amatalaga e tu'uina atu i luga o se isi alalaupapa fa'ailoga fa'atasi ma fa'asologa i le JSON format. Fa'ailoga e fa'aoga ai asymmetric AES cipher ma Base64 encoding. O le DH protocol e faʻaaogaina mo fefaʻatauaʻiga autu (). Ina ia iloa le setete, e fesuiai pea e nodes talosaga ping.
O nodes botnet uma o loʻo tausia se faʻamaumauga tuʻufaʻatasia ma faʻamatalaga e uiga i faiga osofaʻia ma faʻafefeteina. O sini osofaʻiga e faʻamaopoopoina i totonu o le botnet - e osofaʻia e node taʻitasi se isi sini, i.e. lua pona botnet eseese o le a le osofaia le talimalo e tasi. O Nodes e aoina ma faʻasalalau faʻamaumauga faʻapitonuʻu i tuaoi, e pei o le free memory size, uptime, CPU load, ma le SSH login activity. O lenei faʻamatalaga e faʻaaogaina e filifili ai pe amata le faʻagasologa o le mining poʻo le faʻaogaina o le node naʻo le osofaʻia o isi faiga (mo se faʻataʻitaʻiga, e le amata le mining i luga o faiga faʻapipiʻi poʻo faiga faʻatasi ma fesoʻotaʻiga masani).
Ina ia iloa FritzFrog, ua fautuaina e le au suʻesuʻe se faigofie . E fuafua le fa'aleagaina o faiga
faʻailoga e pei o le i ai o se fesoʻotaʻiga faʻalogo i luga o le taulaga 1234, o le i ai i authorized_keys (o loʻo faʻapipiʻi le ki SSH tutusa i nodes uma) ma le i ai i le manatuaina o faiga faʻagaioiga "ifconfig", "libexec", "php-fpm" ma "nginx" e leai ni faila faʻaogaina ("/proc/ / exe" faasino i se faila mamao). O se faʻailoga e mafai foʻi ona i ai le feʻaveaʻi i luga o le upega tafaʻilagi 5555, lea e tupu pe a maua e malware le vaitaele masani web.xmrpool.eu i le taimi o le laʻuina o le Monero cryptocurrency.
puna: opennet.ru