Khamphani ea Guardicore, e sebetsanang le ts'ireletso ea litsi tsa data le lits'ebetso tsa maru, FritzFrog, malware e ncha ea theknoloji e phahameng e hlaselang li-server tse thehiloeng ho Linux. FritzFrog e kopanya seboko se hasang ka tlhaselo ea bruteforce ho li-server tse nang le kou e bulehileng ea SSH, le likarolo tsa ho haha botnet e ikemetseng e sebetsang ntle le li-node tsa taolo mme ha e na ntlha e le 'ngoe ea ho hloleha.
Ho haha botnet, ho sebelisoa protocol ea proprietary P2P, eo ho eona li-node li kopanang, li hokahanyang mokhatlo oa litlhaselo, li tšehetsa ts'ebetso ea marang-rang le ho shebella boemo ba e mong. Bahlaseluoa ba bacha ba fumanoa ka ho etsa tlhaselo ea bruteforce ho li-server tse amohelang likopo ka SSH. Ha seva e ncha e fumanoa, bukantswe e nang le motswako o tlwaelehileng wa mabitso le diphasewete di a fuputswa. Taolo e ka etsoa ka node leha e le efe, e etsang hore ho be thata ho khetholla le ho thibela basebetsi ba botnet.
Ho ea ka bafuputsi, botnet e se e ntse e e-na le li-node tse ka bang 500, ho kenyelletsa le li-server tsa liunivesithi tse 'maloa le k'hamphani e kholo ea terene. Hoa hlokomeloa hore sepheo se seholo sa tlhaselo ke marang-rang a litsi tsa thuto, litsi tsa bongaka, mekhatlo ea 'muso, libanka le lik'hamphani tsa mehala. Ka mor'a hore seva se fokotsehe, mokhoa oa ho rafa chelete ea crypto ea Monero e hlophisitsoe ho eona. Ts'ebetso ea malware eo ho buuoang ka eona esale e saloa morao ho tloha ka Pherekhong 2020.
Ntho e ikhethang ka FritzFrog ke hore e boloka data eohle le khoutu e sebetsang feela mohopolong. Liphetoho ho disk li kenyelletsa feela ho kenyelletsa senotlolo se secha sa SSH faeleng ea authorized_keys, e sebelisoang ka mor'a moo ho fihlella seva. Lifaele tsa tsamaiso ha li fetohe, e leng se etsang hore seboko se se ke sa bonahala ho litsamaiso tse hlahlobang botšepehi li sebelisa li-checksums. Mehopolo e boetse e boloka lidikishinari bakeng sa li-password tse qobellang bolutu le data bakeng sa meepo, tse hokahanngoang lipakeng tsa li-node ho sebelisa protocol ea P2P.
Likarolo tse mpe li patiloe joalo ka lits'ebetso tsa ifconfig, libexec, php-fpm le nginx. Li-node tsa Botnet li lekola boemo ba baahelani ba tsona, 'me haeba seva se tsosolositsoe kapa esita le OS e tsosolosoa (haeba file e fetotsoeng ea authorized_keys e fetiselitsoe tsamaisong e ncha), ba kenya lisebelisoa tse mpe ho moamoheli. Bakeng sa puisano, ho sebelisoa SSH e tloaelehileng - "malware" e boetse e hlahisa "netcat" ea lehae e tlamahaneng le sebopeho sa sebaka sa lehae mme e mamela sephethephethe ho port 1234, eo baamoheli ba kantle ba kenang ho eona ka kotopo ea SSH, ba sebelisa senotlolo se tsoang ho authorized_keys ho hokela.
Khoutu ea karolo ea FritzFrog e ngotsoe ka Go 'me e sebetsa ka mokhoa oa likhoele tse ngata. Malware e kenyelletsa li-module tse 'maloa tse tsamaeang ka likhoele tse fapaneng:
- Cracker - e batla li-password ho li-server tse hlasetsoeng.
- CryptoComm + Parser - e hlophisa khokahano e patiloeng ea P2P.
- CastVotes ke mokhoa oa ho khetha ka kopanelo batho ba hlaselang.
- TargetFeed - E fumana lethathamo la li-node tseo u ka li hlaselang ho tsoa libakeng tsa boahelani.
- DeployMgmt ke ts'ebetsong ea seboko se tsamaisang khoutu e kotsi ho seva se senyehileng.
- Ke ea hae - e ikarabella bakeng sa ho hokela ho li-server tse seng li ntse li sebelisa khoutu e kotsi.
- Kopanya - e kopanya faele mohopolong ho tsoa libolokong tse fetisitsoeng ka thoko.
- Antivir - mojule oa ho hatella malware a hlolisanang, e supa le ho emisa lits'ebetso ka khoele ea "xmr" e jang lisebelisoa tsa CPU.
- Libexec ke mojule oa ho rafa chelete ea crypto ea Monero.
Protocol ea P2P e sebelisitsoeng ho FritzFrog e ts'ehetsa litaelo tse ka bang 30 tse ikarabellang bakeng sa ho fetisetsa data lipakeng tsa li-node, ho tsamaisa lingoloa, ho fetisa likarolo tsa malware, boemo ba likhetho, ho fapanyetsana likutu, ho qala li-proxies, jj. Lintlha li fetisoa ka mocha o ka thoko o kentsoeng ka mokhoa o hlophisitsoeng ka mokhoa oa JSON. Encryption e sebelisa asymmetric AES cipher le Base64 encoding. Protocol ea DH e sebelisetsoa phapanyetsano ea bohlokoa (). Ho tseba boemo, li-node li lula li fapanyetsana likopo tsa ping.
Li-node tsohle tsa botnet li boloka database e ajoang e nang le tlhahisoleseling mabapi le litsamaiso tse hlasetsoeng le tse senyehileng. Lipheo tsa tlhaselo li hokahanngoa ho pholletsa le botnet - node ka 'ngoe e hlasela sepheo se arohaneng, ke hore. li-node tse peli tse fapaneng tsa botnet li ke ke tsa hlasela moeti a le mong. Li-Node li boetse li bokella le ho fetisetsa lipalo-palo tsa lehae ho baahisani, joalo ka boholo ba memori ea mahala, nako ea ho qetela, mojaro oa CPU, le ts'ebetso ea ho kena ea SSH. Tlhahisoleseding ena e sebelisetsoa ho etsa qeto ea ho qala ts'ebetso ea merafo kapa ho sebelisa node feela ho hlasela mekhoa e meng (mohlala, merafo ha e qale ho litsamaiso tse laetsoeng kapa litsamaiso tse nang le likhokahano tsa batsamaisi khafetsa).
Ho khetholla FritzFrog, bafuputsi ba khothalelitse mokhoa o bonolo . Ho tseba tšenyo ea sistimi
matšoao a kang ho ba teng ha khokahanyo ea ho mamela ho port 1234, boteng ho authorized_keys (senotlolo se tšoanang sa SSH se kentsoe litsing tsohle) le boteng ba mohopolo oa lits'ebetso "ifconfig", "libexec", "php-fpm" le "nginx" tse se nang lifaele tse sebetsang tse amanang ("/proc/ /exe" e supa faele e hole). Letšoao e ka boela ea e-ba ho ba teng ha sephethephethe ho marang-rang a marang-rang a 5555, a hlahang ha malware a fihlella letamo le tloaelehileng la web.xmrpool.eu nakong ea merafo ea chelete ea crypto ea Monero.
Source: opennet.ru