ProHoster > Blog > warta internét > Cacing FritzFrog parantos dikenalkeun, nginféksi server liwat SSH sareng ngawangun botnet anu terdesentralisasi

Cacing FritzFrog parantos dikenalkeun, nginféksi server liwat SSH sareng ngawangun botnet anu terdesentralisasi

Perusahaan Guardicore, khusus dina panyalindungan pusat data sareng sistem awan, diungkabkeun FritzFrog, malware berteknologi tinggi anyar anu nyerang server basis Linux. FritzFrog ngagabungkeun cacing nu nyebar ngaliwatan serangan bruteforce on server kalawan port SSH kabuka, sareng komponenana pikeun ngawangun hiji botnet desentralisasi nu ngoperasikeun tanpa titik kontrol jeung teu boga titik tunggal gagal.

Pikeun ngawangun botnet, protokol P2P proprietary dianggo, dimana titik saling berinteraksi, koordinat organisasi serangan, ngadukung operasi jaringan sareng ngawas status masing-masing. Korban anyar kapanggih ku ngalaksanakeun serangan bruteforce dina server anu nampi pamundut via SSH. Nalika server anyar dideteksi, kamus kombinasi khas login sareng kecap akses dipaluruh. Kontrol tiasa dilaksanakeun ngaliwatan titik mana waé, anu matak hésé pikeun ngaidentipikasi sareng meungpeuk operator botnet.

Numutkeun kana panaliti, botnet parantos ngagaduhan sakitar 500 titik, kalebet server sababaraha paguron luhur sareng perusahaan karéta api ageung. Kacatet yén target utama serangan nyaéta jaringan lembaga pendidikan, pusat médis, lembaga pamaréntah, bank sareng perusahaan telekomunikasi. Saatos server dikompromi, prosés pertambangan cryptocurrency Monero diatur dina éta. Aktivitas malware anu ditaroskeun parantos dilacak ti Januari 2020.

Hal husus ngeunaan FritzFrog téh nya éta ngajaga sakabéh data jeung kode laksana ukur dina mémori. Parobahan dina disk ngan diwangun ku nambahkeun hiji konci SSH anyar kana file authorized_keys, nu salajengna dipaké pikeun ngakses server. File sistem henteu dirobih, anu ngajantenkeun cacing teu katingali ku sistem anu mariksa integritas nganggo checksum. Mémori ogé nyimpen kamus pikeun kecap akses anu maksa sareng data pikeun pertambangan, anu disingkronkeun antara titik-titik nganggo protokol P2P.

Komponén jahat anu kamuflase salaku ifconfig, libexec, php-fpm sareng prosés nginx. Titik Botnet ngawas status tatanggana sareng, upami server di-reboot atanapi malah OS dipasang deui (upami file authorized_keys anu dirobih ditransfer kana sistem énggal), aranjeunna ngaktifkeun deui komponén jahat dina host. Pikeun komunikasi, SSH standar dianggo - malware ogé ngaluncurkeun "netcat" lokal anu nyambung ka antarmuka localhost sareng ngadangukeun lalu lintas dina port 1234, anu aksés host éksternal ngalangkungan torowongan SSH, nganggo konci ti authorized_keys pikeun nyambung.

Cacing FritzFrog parantos dikenalkeun, nginféksi server liwat SSH sareng ngawangun botnet anu terdesentralisasi

Kode komponén FritzFrog ditulis dina Go tur dijalankeun dina modeu multi-threaded. Malware ngawengku sababaraha modul anu ngajalankeun dina threads béda:

  • Cracker - milarian kecap akses dina server anu diserang.
  • CryptoComm + Parser - ngatur sambungan P2P énkripsi.
  • CastVotes mangrupikeun mékanisme pikeun babarengan milih host target pikeun serangan.
  • TargetFeed - Narima daptar titik pikeun nyerang ti titik tatangga.
  • DeployMgmt mangrupikeun palaksanaan cacing anu nyebarkeun kode jahat ka server anu dikompromi.
  • Milik - tanggung jawab pikeun nyambungkeun ka server anu parantos ngajalankeun kode jahat.
  • Nyusun - assembles file dina mémori tina blok ditransfer misah.
  • Antivir - modul pikeun suppressing competing malware, ngaidentipikasi sarta terminates prosés jeung string "xmr" nu meakeun sumberdaya CPU.
  • Libexec mangrupakeun modul pikeun pertambangan cryptocurrency Monero.

Protokol P2P anu dianggo dina FritzFrog ngadukung ngeunaan 30 paréntah anu tanggung jawab pikeun nransferkeun data antara titik, ngajalankeun skrip, nransferkeun komponén malware, status polling, tukeur log, ngaluncurkeun proksi, jsb. Inpormasi dikirimkeun ngaliwatan saluran énkripsi anu misah sareng serialisasi dina format JSON. Énkripsi ngagunakeun cipher AES asimétri sareng encoding Base64. Protokol DH dipaké pikeun bursa konci (Diffie–Hellman). Pikeun nangtukeun kaayaan, titik-titik terus-terusan tukeur pamundut ping.

Sadaya titik botnet ngajaga database anu disebarkeun kalayan inpormasi ngeunaan sistem anu diserang sareng dikompromi. Target serangan disingkronkeun sapanjang botnet - unggal titik nyerang target anu misah, nyaéta. dua titik botnet béda moal narajang host sarua. Node ogé ngumpulkeun sareng ngirimkeun statistik lokal ka tatangga, sapertos ukuran mémori gratis, uptime, beban CPU, sareng kagiatan login SSH. Inpormasi ieu dianggo pikeun mutuskeun pikeun ngamimitian prosés pertambangan atanapi nganggo titik ngan ukur pikeun nyerang sistem anu sanés (contona, pertambangan henteu ngamimitian dina sistem anu dimuat atanapi sistem anu gaduh sambungan administrator anu sering).

Pikeun ngaidentipikasi FritzFrog, panalungtik geus ngajukeun basajan naskah cangkang. Pikeun nangtukeun karuksakan sistem
tanda kayaning ayana sambungan déngékeun on port 1234, ayana konci jahat dina authorized_keys (konci SSH anu sami dipasang dina sadaya titik) sareng ayana dina mémori prosés ngajalankeun "ifconfig", "libexec", "php-fpm" sareng "nginx" anu teu aya file anu tiasa dieksekusi ("/proc/ /exe" nunjuk ka file jauh). Hiji tanda ogé bisa jadi ayana lalulintas dina port jaringan 5555, nu lumangsung nalika malware ngakses web.xmrpool.eu kolam renang has salila pertambangan tina cryptocurrency Monero.

sumber: opennet.ru

Tambahkeun komentar