Kampuni ya Guardicore, inayobobea katika ulinzi wa vituo vya data na mifumo ya wingu, FritzFrog, programu hasidi mpya ya teknolojia ya juu inayoshambulia seva zinazotumia Linux. FritzFrog inachanganya mdudu ambaye huenea kupitia mashambulizi ya nguvu kwenye seva na mlango wazi wa SSH, na vipengele vya kujenga botnet iliyogatuliwa ambayo hufanya kazi bila nodi za udhibiti na haina pointi moja ya kushindwa.
Ili kujenga botnet, itifaki ya P2P ya wamiliki hutumiwa, ambayo nodes huingiliana, kuratibu shirika la mashambulizi, kusaidia uendeshaji wa mtandao na kufuatilia hali ya kila mmoja. Waathiriwa wapya hupatikana kwa kutekeleza shambulio la kikatili kwenye seva zinazokubali maombi kupitia SSH. Seva mpya inapogunduliwa, kamusi ya michanganyiko ya kawaida ya anwani na manenosiri hutafutwa. Udhibiti unaweza kufanywa kupitia node yoyote, ambayo inafanya kuwa vigumu kutambua na kuzuia waendeshaji wa botnet.
Kulingana na watafiti, botnet tayari ina nodi 500, pamoja na seva za vyuo vikuu kadhaa na kampuni kubwa ya reli. Imeelezwa kuwa walengwa wakuu wa shambulio hilo ni mitandao ya taasisi za elimu, vituo vya matibabu, mashirika ya serikali, benki na makampuni ya mawasiliano. Baada ya seva kuathiriwa, mchakato wa kuchimba sarafu ya crypto ya Monero hupangwa juu yake. Shughuli ya programu hasidi inayohusika imefuatiliwa tangu Januari 2020.
Jambo maalum kuhusu FritzFrog ni kwamba huweka data zote na msimbo unaoweza kutekelezwa kwenye kumbukumbu tu. Mabadiliko kwenye diski yanajumuisha tu kuongeza kitufe kipya cha SSH kwenye faili iliyoidhinishwa_ya_funguo, ambayo hutumika kufikia seva. Faili za mfumo hazibadilishwa, ambayo hufanya mdudu asionekane kwa mifumo inayoangalia uadilifu kwa kutumia hundi. Kumbukumbu pia huhifadhi kamusi za manenosiri na data zinazolazimisha uchimbaji madini, ambazo husawazishwa kati ya nodi kwa kutumia itifaki ya P2P.
Vipengele hasidi vimefichwa kama michakato ya ifconfig, libexec, php-fpm na nginx. Nodi za Botnet hufuatilia hali ya majirani zao na, ikiwa seva imewashwa upya au hata OS itasakinishwa upya (ikiwa faili ya authorized_keys iliyorekebishwa ilihamishiwa kwenye mfumo mpya), wao huwasha upya vipengele hasidi kwenye seva pangishi. Kwa mawasiliano, SSH ya kawaida hutumiwa - programu hasidi pia huzindua "netcat" ya ndani ambayo inafunga kiolesura cha mwenyeji wa ndani na kusikiliza trafiki kwenye mlango 1234, ambayo wapangishi wa nje huifikia kupitia njia ya SSH, kwa kutumia ufunguo kutoka kwa funguo_ zilizoidhinishwa kuunganisha.
Msimbo wa sehemu ya FritzFrog umeandikwa katika Go na huendeshwa katika hali ya nyuzi nyingi. Programu hasidi inajumuisha moduli kadhaa zinazoendeshwa katika nyuzi tofauti:
- Cracker - hutafuta manenosiri kwenye seva zilizoshambuliwa.
- CryptoComm + Parser - hupanga muunganisho uliosimbwa wa P2P.
- CastVotes ni utaratibu wa kuchagua kwa pamoja wapangishi walengwa wa mashambulizi.
- TargetFeed - Hupokea orodha ya nodi za kushambulia kutoka nodi za jirani.
- DeployMgmt ni utekelezaji wa mdudu ambaye husambaza msimbo hasidi kwa seva iliyoathiriwa.
- Inamilikiwa - inawajibika kwa kuunganisha kwa seva ambazo tayari zinatumia msimbo hasidi.
- Kusanya - hukusanya faili kwenye kumbukumbu kutoka kwa vizuizi vilivyohamishwa tofauti.
- Antivir - moduli ya kukandamiza programu hasidi shindani, hutambua na kusimamisha michakato kwa mfuatano wa "xmr" ambao hutumia rasilimali za CPU.
- Libexec ni moduli ya uchimbaji wa sarafu ya crypto ya Monero.
Itifaki ya P2P inayotumiwa katika FritzFrog inasaidia takriban amri 30 zinazowajibika kwa kuhamisha data kati ya nodi, hati zinazoendesha, kuhamisha vipengee vya programu hasidi, hali ya upigaji kura, kubadilishana kumbukumbu, kuzindua seva mbadala, n.k. Taarifa hutumwa kupitia chaneli tofauti iliyosimbwa kwa njia fiche na kuhaririwa katika umbizo la JSON. Usimbaji fiche hutumia cipher ya AES isiyolinganishwa na usimbaji wa Base64. Itifaki ya DH inatumika kwa kubadilishana ufunguo () Kuamua hali, nodi hubadilishana maombi ya ping kila wakati.
Nodi zote za botnet hudumisha hifadhidata iliyosambazwa na taarifa kuhusu mifumo iliyoshambuliwa na kuathirika. Malengo ya mashambulizi yanasawazishwa katika botnet - kila nodi inashambulia lengo tofauti, i.e. nodi mbili tofauti za botnet hazitashambulia mwenyeji mmoja. Nodi pia hukusanya na kusambaza takwimu za ndani kwa majirani, kama vile ukubwa wa kumbukumbu isiyolipishwa, muda wa ziada, mzigo wa CPU, na shughuli ya kuingia katika SSH. Taarifa hii inatumiwa kuamua kama kuanzisha mchakato wa uchimbaji madini au kutumia nodi tu kushambulia mifumo mingine (kwa mfano, uchimbaji hauanzii kwenye mifumo iliyopakiwa au mifumo yenye miunganisho ya mara kwa mara ya msimamizi).
Ili kutambua FritzFrog, watafiti wamependekeza rahisi . Ili kuamua uharibifu wa mfumo
ishara kama vile uwepo wa muunganisho wa kusikiliza kwenye bandari 1234, uwepo katika authorized_keys (ufunguo sawa wa SSH umewekwa kwenye nodi zote) na uwepo katika kumbukumbu ya michakato inayoendesha "ifconfig", "libexec", "php-fpm" na "nginx" ambayo haina faili zinazohusiana zinazoweza kutekelezwa ("/proc/ /exe" inaelekeza kwenye faili ya mbali). Ishara pia inaweza kuwa uwepo wa trafiki kwenye bandari ya mtandao 5555, ambayo hutokea wakati programu hasidi inafikia mtandao wa kawaida wa web.xmrpool.eu wakati wa uchimbaji wa fedha taslimu ya Monero.
Chanzo: opennet.ru