Компанија Гуардицоре, специјализована за заштиту дата центара и цлоуд система, нови високотехнолошки злонамерни софтвер FritzFrog, који напада сервере засноване на LinuxФрицФрог комбинује црва који се шири путем напада грубе силе на сервере са отвореним SSH портом са компонентама за изградњу децентрализоване ботнета која ради без контролних чворова и нема јединствену тачку отказа.
Да би се изградио ботнет, користи се власнички П2П протокол, у којем чворови међусобно комуницирају, координирају организацију напада, подржавају рад мреже и прате статус једни других. Нове жртве се проналазе извођењем грубог напада на сервере који прихватају захтеве преко ССХ-а. Када се открије нови сервер, претражује се речник типичних комбинација пријављивања и лозинки. Контрола се може извршити преко било ког чвора, што отежава идентификацију и блокирање ботнет оператера.
Према истраживачима, ботнет већ има око 500 чворова, укључујући сервере неколико универзитета и велике железничке компаније. Напомиње се да су главне мете напада мреже образовних институција, медицинских центара, владиних агенција, банака и телекомуникационих компанија. Након што је сервер компромитован, на њему се организује процес рударења Монеро криптовалуте. Активност дотичног малвера се прати од јануара 2020.
Посебна ствар код ФритзФрог-а је то што све податке и извршни код чува само у меморији. Промене на диску се састоје само од додавања новог ССХ кључа у датотеку аутхоризед_кеис, која се касније користи за приступ серверу. Системске датотеке се не мењају, што црва чини невидљивим за системе који проверавају интегритет помоћу контролних збира. Меморија такође чува речнике за бруталне лозинке и податке за рударење, који се синхронизују између чворова помоћу П2П протокола.
Злонамерне компоненте су камуфлиране као ифцонфиг, либекец, пхп-фпм и нгинк процеси. Ботнет чворови надгледају статус својих суседа и, ако се сервер поново покрене или чак поново инсталира ОС (ако је модификована датотека аутхоризед_кеис пребачена на нови систем), поново активирају злонамерне компоненте на хосту. За комуникацију се користи стандардни ССХ – злонамерни софтвер додатно покреће локални „нетцат“ који се везује за интерфејс локалног хоста и слуша саобраћај на порту 1234, коме спољни хостови приступају преко ССХ тунела, користећи кључ од аутхоризед_кеис за повезивање.
ФритзФрог компонентни код је написан у Го и ради у вишенитном режиму. Малвер укључује неколико модула који раде у различитим нитима:
- Крекер - тражи лозинке на нападнутим серверима.
- ЦриптоЦомм + Парсер - организује шифровану П2П везу.
- ЦастВотес је механизам за заједнички одабир циљних домаћина за напад.
- ТаргетФеед – прима листу чворова за напад од суседних чворова.
- ДеплоиМгмт је имплементација црва који дистрибуира злонамерни код компромитованом серверу.
- У власништву – одговоран за повезивање са серверима који већ користе злонамерни код.
- Ассембле - саставља датотеку у меморији из засебно пренетих блокова.
- Антивир - модул за сузбијање конкурентског малвера, идентификује и завршава процесе низом „кмр“ који троше ЦПУ ресурсе.
- Либекец је модул за рударење криптовалуте Монеро.
П2П протокол који се користи у ФритзФрог-у подржава око 30 команди одговорних за пренос података између чворова, покретање скрипти, пренос компоненти злонамерног софтвера, статус анкетирања, размену дневника, покретање проксија итд. Информације се преносе преко посебног шифрованог канала са серијализацијом у ЈСОН формату. Шифровање користи асиметричну АЕС шифру и Басе64 кодирање. ДХ протокол се користи за размену кључева (). Да би одредили стање, чворови стално размењују пинг захтеве.
Сви ботнет чворови одржавају дистрибуирану базу података са информацијама о нападнутим и компромитованим системима. Циљеви напада су синхронизовани кроз ботнет – сваки чвор напада посебну мету, тј. два различита ботнет чвора неће напасти истог хоста. Чворови такође прикупљају и преносе локалне статистике суседима, као што су величина слободне меморије, време непрекидног рада, оптерећење ЦПУ-а и активност пријављивања на ССХ. Ове информације се користе да се одлучи да ли да се покрене процес рударења или да се чвор користи само за напад на друге системе (на пример, рударење не почиње на учитаним системима или системима са честим администраторским везама).
Да би идентификовали ФритзФрог, истраживачи су предложили једноставан . Да би се утврдило оштећење система
знакове као што је присуство прислушне везе на порту 1234, присуство у аутхоризед_кеис (исти ССХ кључ је инсталиран на свим чворовима) и присуство у меморији покренутих процеса „ифцонфиг“, „либекец“, „пхп-фпм“ и „нгинк“ који немају повезане извршне датотеке (“/проц/ /еке" указује на удаљену датотеку). Знак може бити и присуство саобраћаја на мрежном порту 5555, који се јавља када малвер приступи типичном базену веб.кмрпоол.еу током рударења криптовалуте Монеро.
Извор: опеннет.ру
