Kompania Guardicore, e specializuar në mbrojtjen e qendrave të të dhënave dhe sistemeve cloud, FritzFrog, një malware i ri i teknologjisë së lartë që sulmon serverët e bazuar në Linux. FritzFrog kombinon një krimb që përhapet përmes një sulmi bruteforce në serverë me një port të hapur SSH dhe komponentë për të ndërtuar një botnet të decentralizuar që funksionon pa nyje kontrolli dhe nuk ka asnjë pikë të vetme dështimi.
Për të ndërtuar një botnet, përdoret një protokoll i pronarit P2P, në të cilin nyjet ndërveprojnë me njëri-tjetrin, koordinojnë organizimin e sulmeve, mbështesin funksionimin e rrjetit dhe monitorojnë statusin e njëri-tjetrit. Viktimat e reja gjenden duke kryer një sulm bruteforce në serverët që pranojnë kërkesa nëpërmjet SSH. Kur zbulohet një server i ri, kërkohet një fjalor i kombinimeve tipike të hyrjeve dhe fjalëkalimeve. Kontrolli mund të kryhet përmes çdo nyje, gjë që e bën të vështirë identifikimin dhe bllokimin e operatorëve botnet.
Sipas studiuesve, botnet tashmë ka rreth 500 nyje, duke përfshirë serverët e disa universiteteve dhe një kompani të madhe hekurudhore. Vihet re se objektivat kryesore të sulmit janë rrjetet e institucioneve arsimore, qendrat mjekësore, agjencitë qeveritare, bankat dhe kompanitë e telekomunikacionit. Pasi serveri është komprometuar, procesi i minimit të kriptomonedhës Monero organizohet në të. Aktiviteti i malware në fjalë është gjurmuar që nga janari 2020.
E veçanta e FritzFrog është se i ruan të gjitha të dhënat dhe kodin e ekzekutueshëm vetëm në memorie. Ndryshimet në disk konsistojnë vetëm në shtimin e një çelësi të ri SSH në skedarin autorized_keys, i cili më pas përdoret për të hyrë në server. Skedarët e sistemit nuk ndryshohen, gjë që e bën krimbin të padukshëm për sistemet që kontrollojnë integritetin duke përdorur shumat e kontrollit. Memoria ruan gjithashtu fjalorë për fjalëkalime të detyruara brutale dhe të dhëna për minierë, të cilat sinkronizohen midis nyjeve duke përdorur protokollin P2P.
Komponentët me qëllim të keq kamuflohen si procese ifconfig, libexec, php-fpm dhe nginx. Nyjet e botnet-it monitorojnë statusin e fqinjëve të tyre dhe, nëse serveri riniset ose edhe sistemi operativ riinstalohet (nëse një skedar i modifikuar autorized_keys është transferuar në sistemin e ri), ata riaktivizojnë komponentët me qëllim të keq në host. Për komunikim, përdoret SSH standarde - malware gjithashtu lëshon një "netcat" lokal që lidhet me ndërfaqen localhost dhe dëgjon trafikun në portin 1234, të cilit hostet e jashtëm i qasen përmes një tuneli SSH, duke përdorur një çelës nga autorizuar_çelësat për t'u lidhur.
Kodi i komponentit FritzFrog është shkruar në Go dhe funksionon në modalitetin me shumë fije. Malware përfshin disa module që funksionojnë në tema të ndryshme:
- Cracker - kërkon fjalëkalime në serverët e sulmuar.
- CryptoComm + Parser - organizon një lidhje të koduar P2P.
- CastVotes është një mekanizëm për zgjedhjen e përbashkët të hosteve të synuar për sulm.
- TargetFeed - Merr një listë të nyjeve për të sulmuar nga nyjet fqinje.
- DeployMgmt është një zbatim i një krimbi që shpërndan kodin me qëllim të keq në një server të komprometuar.
- Në pronësi - përgjegjës për t'u lidhur me serverët që tashmë po ekzekutojnë kode me qëllim të keq.
- Assemble - mbledh një skedar në memorie nga blloqe të transferuara veçmas.
- Antivir - një modul për shtypjen e malware konkurrues, identifikon dhe përfundon proceset me vargun "xmr" që konsumojnë burimet e CPU.
- Libexec është një modul për nxjerrjen e kriptomonedhës Monero.
Protokolli P2P i përdorur në FritzFrog mbështet rreth 30 komanda përgjegjëse për transferimin e të dhënave midis nyjeve, ekzekutimin e skripteve, transferimin e komponentëve të malware, statusin e votimit, shkëmbimin e regjistrave, lëshimin e proxy-ve, etj. Informacioni transmetohet përmes një kanali të veçantë të koduar me serializimin në formatin JSON. Kriptimi përdor shifrën asimetrike AES dhe kodimin Base64. Protokolli DH përdoret për shkëmbimin e çelësave (). Për të përcaktuar gjendjen, nyjet shkëmbejnë vazhdimisht kërkesa për ping.
Të gjitha nyjet e botnet-it mbajnë një bazë të dhënash të shpërndarë me informacione rreth sistemeve të sulmuara dhe të komprometuara. Objektivat e sulmit sinkronizohen në të gjithë botnet - çdo nyje sulmon një objektiv të veçantë, d.m.th. dy nyje të ndryshme botnet nuk do të sulmojnë të njëjtin host. Nyjet gjithashtu mbledhin dhe transmetojnë statistika lokale te fqinjët, të tilla si madhësia e memories së lirë, koha e funksionimit, ngarkesa e CPU-së dhe aktiviteti i hyrjes në SSH. Ky informacion përdoret për të vendosur nëse do të fillojë procesi i minierës ose do të përdoret nyja vetëm për të sulmuar sisteme të tjera (për shembull, miniera nuk fillon në sisteme të ngarkuara ose sisteme me lidhje të shpeshta administratori).
Për të identifikuar FritzFrog, studiuesit kanë propozuar një të thjeshtë . Për të përcaktuar dëmtimin e sistemit
shenja të tilla si prania e një lidhjeje dëgjimi në portin 1234, prania në çelësat e autorizuar (i njëjti çelës SSH është i instaluar në të gjitha nyjet) dhe prania në memorie e proceseve të ekzekutimit "ifconfig", "libexec", "php-fpm" dhe "nginx" që nuk kanë skedarë ekzekutues të lidhur ("/proc/ /exe" tregon një skedar në distancë). Një shenjë mund të jetë gjithashtu prania e trafikut në portin e rrjetit 5555, i cili ndodh kur malware hyn në web.xmrpool.eu tipik të pishinës gjatë minierës së kriptomonedhës Monero.
Burimi: opennet.ru