Shirkadda Guardicore, oo ku takhasustay ilaalinta xarumaha xogta iyo nidaamyada daruuraha, FritzFrog, malware-cusub oo tignoolajiyada sare ah oo weerara server-yada Linux-ku-saleysan. FritzFrog wuxuu isku daraa dixiri ku faafaya iyada oo loo marayo weerarka bruteforce ee server-yada leh deked SSH ah oo furan, iyo qaybo si loo dhiso botnet baahsan oo ku shaqeeya iyada oo aan lahayn qanjidhada koontaroolka oo aan lahayn hal dhibic oo guul darro ah.
Si loo dhiso botnet, borotokoolka P2P ee lahaanshaha ayaa la isticmaalaa, kaas oo qanjidhada ay isdhexgalaan midba midka kale, isku duwo abaabulka weerarrada, taageera hawlgalka shabakada oo la socdo xaaladda midba midka kale. Dhibbanayaasha cusub waxaa lagu helaa iyaga oo ku qaadaya weerar arxan darro ah server-yada aqbalay codsiyada SSH. Marka server cusub la helo, qaamuuska isku darka caadiga ah ee logins iyo ereyada sirta ah ayaa la raadiyaa. Xakamaynta waxaa lagu fulin karaa iyada oo loo marayo noode kasta, taas oo adkeynaysa in la aqoonsado oo la xannibo hawlwadeennada botnet.
Sida laga soo xigtay cilmi-baarayaasha, botnet-ku wuxuu horey u lahaa ilaa 500 qanjidhada, oo ay ku jiraan server-yada jaamacado badan iyo shirkad weyn oo tareeno ah. Waxaa la xusay in bartilmaameedyada ugu weyn ee weerarka ay yihiin isku xirnaanta xarumaha waxbarashada, xarumaha caafimaadka, hay’adaha dowladda, bangiyada iyo shirkadaha isgaarsiinta. Ka dib markii server-ka la jabiyo, habka macdanta Monero cryptocurrency ayaa lagu abaabulaa. Dhaqdhaqaaqa malware-ka ee su'aashu waxay ahayd tan iyo Janaayo 2020.
Waxyaabaha gaarka ah ee ku saabsan FritzFrog waa in ay ku hayso dhammaan xogta iyo koodka la fulin karo oo keliya xusuusta. Isbeddellada ku jira saxanka waxay ka kooban yihiin oo keliya in lagu daro furaha SSH cusub faylka la oggolaaday, kaas oo markaa loo isticmaalo gelitaanka serfarka. Faylasha nidaamka lama beddelo, taas oo ka dhigaysa dixiri aan la arki karin nidaamyada hubiya daacadnimada iyaga oo isticmaalaya jeegaga. Xusuustu waxa kale oo ay kaydisaa qaamuusyada sirta qasabka ah ee sirta ah iyo xogta macdanta, kuwaas oo la mid ah inta u dhaxaysa noodhka iyada oo la adeegsanayo borotokoolka P2P.
Qaybaha xaasidnimada leh waxaa loo qaabeeyey sida ifconfig, libexec, php-fpm iyo hababka nginx. Botnet nodes waxay la socdaan xaaladda deriskooda iyo, haddii server-ka dib loo bilaabo ama xitaa OS dib loo rakibo (haddii faylka la oggolaaday ee la beddelay ee nidaamka cusub), waxay dib u hawlgeliyaan qaybaha xaasidnimo ee martida loo yahay. Isgaarsiinta, heerka SSH-ga ayaa loo isticmaalaa - malware-ku wuxuu sidoo kale bilaabay "netcat" maxalli ah kaas oo ku xira interfacehost localhost oo dhagaysta taraafikada dekedda 1234, kaas oo martigeliyayaasha dibadda ay ka galaan tunnel-ka SSH, iyaga oo isticmaalaya furaha furayaasha la oggol yahay si loogu xiro.
Koodhka qaybta FritzFrog wuxuu ku qoran yahay Go wuxuuna ku shaqeeyaa qaab isku xidhan oo badan. Malware-ku waxa ku jira dhawr qaybood oo ku shaqeeya dunta kala duwan:
- Cracker - wuxuu raadiyaa furaha sirta ah ee server-yada la weeraray.
- CryptoComm + Parser - waxay abaabushaa isku xirka P2P sir ah.
- CastVotes waa hab si wadajir ah loogu dooranayo martida loo yahay weerarka.
- TargetFeed - Heshaa liiska noodhka si uu uga weeraro qanjidhada deriska ah.
- DeployMgmt waa hirgalinta dirxi u qaybiya kood xaasidnimo ah serfarka la jabiyay.
- Lahaanshaha leh - mas'uul ka ah isku xirka server-yada kuwaas oo horey u shaqeynayay kood xaasidnimo ah.
- Isku-dubbarid - waxay ku ururisaa faylal xusuusta ku jira oo laga soo ururiyay baloogyada si gaar ah loo wareejiyay.
- Antivir - moduleka lagu xakameynayo malware-ka tartamaya, wuxuu aqoonsadaa oo joojiyaa geeddi-socodka xarigga "xmr" ee cuna ilaha CPU.
- Libexec waa moduleka macdanta ee Monero cryptocurrency.
Nidaamka P2P ee loo isticmaalo FritzFrog wuxuu taageeraa ilaa 30 amarro ah oo mas'uul ka ah wareejinta xogta u dhaxaysa noodhka, qoraallada socodsiinta, wareejinta qaybaha malware, heerka codbixinta, beddelashada diiwaannada, soo saarista wakiillada, iwm. Macluumaadka waxa lagu kala qaadaa kanaal sir gaar ah oo siraysan qaab JSON ah. Sirintu waxay isticmaashaa asymmetric AES cipher iyo codaynta Base64. Hab-maamuuska DH waxa loo isticmaalaa isweydaarsiga muhiimka ah (). Si loo go'aamiyo gobolka, noodhadhku waxay si joogto ah u beddelaan codsiyada ping.
Dhammaan qanjidhada botnet waxay ilaalinayaan xogta la qaybiyey oo leh macluumaadka ku saabsan nidaamyada la weeraray iyo kuwa la jabsaday. Bartilmaameedyada weerarku waa la wada siman yahay botnet oo dhan - noodh kastaa wuxuu weeraraa bartilmaameed gaar ah, i.e. laba nooc oo botnet kala duwan ma weerari doonaan isla martigaliyaha. Nodes sidoo kale waxay ururiyaan oo u gudbiyaan tirakoobyada maxalliga ah deriska, sida cabbirka xusuusta bilaashka ah, wakhtiga la joogo, culeyska CPU, iyo dhaqdhaqaaqa soo gelista SSH. Macluumaadkan waxaa loo isticmaalaa in lagu go'aamiyo in la bilaabo habka macdanta ama loo isticmaalo noodhka kaliya si loo weeraro nidaamyada kale (tusaale, macdan qodashadu kuma bilaabato nidaamyada raran ama nidaamyada leh isku xirka maamulaha joogtada ah).
Si loo aqoonsado FritzFrog, cilmi-baarayaashu waxay soo jeediyeen mid fudud . Si loo go'aamiyo burburka nidaamka
calaamadaha sida joogitaanka xidhiidhka dhegeysiga ee dekedda 1234, joogitaanka Furaha la oggol yahay (furaha SSH ee isku midka ah ayaa lagu rakibay dhammaan noodhka) iyo joogitaanka xusuusta hababka socodsiinta "ifconfig", "libexec", "php-fpm" iyo "nginx" kuwaas oo aan lahayn faylal la fulin karo ("/proc/) / exe" waxay tilmaamaysaa fayl fog). Calaamaddu waxay sidoo kale noqon kartaa joogitaanka taraafikada ee dekedda shabakadda 5555, taas oo dhacda marka malware uu galo barkada caadiga ah web.xmrpool.eu inta lagu jiro macdanta Monero cryptocurrency.
Source: opennet.ru