கார்டிகோர் நிறுவனம், தரவு மையங்கள் மற்றும் கிளவுட் அமைப்புகளின் பாதுகாப்பில் நிபுணத்துவம் பெற்றது, ஃபிரிட்ஸ்ஃப்ராக், லினக்ஸ் அடிப்படையிலான சர்வர்களைத் தாக்கும் புதிய உயர் தொழில்நுட்ப மால்வேர். FritzFrog ஆனது ஒரு திறந்த SSH போர்ட்டுடன் சர்வர்களில் ப்ரூட்ஃபோர்ஸ் தாக்குதலின் மூலம் பரவும் புழுவை ஒருங்கிணைக்கிறது, மேலும் ஒரு பரவலாக்கப்பட்ட பாட்நெட்டை உருவாக்குவதற்கான கூறுகளை கட்டுப்பாட்டு முனைகள் இல்லாமல் செயல்படும் மற்றும் தோல்வியின் எந்த புள்ளியும் இல்லை.
ஒரு போட்நெட்டை உருவாக்க, ஒரு தனியுரிம P2P நெறிமுறை பயன்படுத்தப்படுகிறது, இதில் முனைகள் ஒருவருக்கொருவர் தொடர்பு கொள்கின்றன, தாக்குதல்களின் அமைப்பை ஒருங்கிணைக்கின்றன, நெட்வொர்க்கின் செயல்பாட்டை ஆதரிக்கின்றன மற்றும் ஒருவருக்கொருவர் நிலையை கண்காணிக்கின்றன. SSH வழியாக கோரிக்கைகளை ஏற்கும் சர்வர்கள் மீது ப்ரூட்ஃபோர்ஸ் தாக்குதல் நடத்துவதன் மூலம் புதிய பாதிக்கப்பட்டவர்கள் கண்டறியப்படுகிறார்கள். புதிய சேவையகம் கண்டறியப்பட்டால், உள்நுழைவுகள் மற்றும் கடவுச்சொற்களின் வழக்கமான சேர்க்கைகளின் அகராதி தேடப்படும். எந்த முனை மூலமாகவும் கட்டுப்பாட்டை மேற்கொள்ள முடியும், இது பாட்நெட் ஆபரேட்டர்களை அடையாளம் கண்டு தடுப்பதை கடினமாக்குகிறது.
ஆராய்ச்சியாளர்களின் கூற்றுப்படி, போட்நெட்டில் ஏற்கனவே சுமார் 500 முனைகள் உள்ளன, இதில் பல பல்கலைக்கழகங்களின் சேவையகங்கள் மற்றும் ஒரு பெரிய ரயில்வே நிறுவனம் அடங்கும். கல்வி நிறுவனங்கள், மருத்துவ மையங்கள், அரசு நிறுவனங்கள், வங்கிகள் மற்றும் தொலைத்தொடர்பு நிறுவனங்களின் வலையமைப்புகள் தாக்குதலின் முக்கிய இலக்குகளாகும் என்பது குறிப்பிடத்தக்கது. சேவையகம் சமரசம் செய்யப்பட்ட பிறகு, Monero கிரிப்டோகரன்சியை சுரங்கப்படுத்தும் செயல்முறை அதில் ஒழுங்கமைக்கப்படுகிறது. கேள்விக்குரிய தீம்பொருளின் செயல்பாடு ஜனவரி 2020 முதல் கண்டறியப்பட்டது.
FritzFrog இன் சிறப்பு என்னவென்றால், இது எல்லா தரவையும், இயங்கக்கூடிய குறியீட்டையும் நினைவகத்தில் மட்டுமே வைத்திருக்கிறது. வட்டில் உள்ள மாற்றங்கள் அங்கீகரிக்கப்பட்ட_கீஸ் கோப்பில் ஒரு புதிய SSH விசையைச் சேர்ப்பது மட்டுமே ஆகும், இது பின்னர் சேவையகத்தை அணுக பயன்படுகிறது. கணினி கோப்புகள் மாற்றப்படவில்லை, இது செக்சம்களைப் பயன்படுத்தி ஒருமைப்பாட்டை சரிபார்க்கும் அமைப்புகளுக்கு புழுவை கண்ணுக்கு தெரியாததாக ஆக்குகிறது. நினைவகம் முரட்டுத்தனமான கடவுச்சொற்களுக்கான அகராதிகளையும் சுரங்கத்திற்கான தரவுகளையும் சேமிக்கிறது, அவை P2P நெறிமுறையைப் பயன்படுத்தி முனைகளுக்கு இடையில் ஒத்திசைக்கப்படுகின்றன.
தீங்கிழைக்கும் கூறுகள் ifconfig, libexec, php-fpm மற்றும் nginx செயல்முறைகளாக மறைக்கப்படுகின்றன. பாட்நெட் முனைகள் அவற்றின் அண்டை நாடுகளின் நிலையைக் கண்காணிக்கின்றன, மேலும் சேவையகம் மறுதொடக்கம் செய்யப்பட்டாலோ அல்லது OS மீண்டும் நிறுவப்பட்டாலோ (மாற்றியமைக்கப்பட்ட அங்கீகரிக்கப்பட்ட_கீஸ் கோப்பு புதிய கணினிக்கு மாற்றப்பட்டிருந்தால்), அவை ஹோஸ்டில் தீங்கிழைக்கும் கூறுகளை மீண்டும் செயல்படுத்துகின்றன. தகவல்தொடர்புக்கு, நிலையான SSH பயன்படுத்தப்படுகிறது - தீம்பொருள் கூடுதலாக உள்ளூர் "நெட்கேட்" ஐ அறிமுகப்படுத்துகிறது, இது லோக்கல் ஹோஸ்ட் இடைமுகத்துடன் பிணைக்கிறது மற்றும் போர்ட் 1234 இல் போக்குவரத்தைக் கேட்கிறது, இது SSH சுரங்கப்பாதை வழியாக அணுகலை வெளிப்புற ஹோஸ்ட் செய்கிறது, அங்கீகரிக்கப்பட்ட_கீகளின் விசையைப் பயன்படுத்தி இணைக்கிறது.
FritzFrog கூறு குறியீடு Go இல் எழுதப்பட்டு மல்டி-த்ரெட் பயன்முறையில் இயங்குகிறது. தீம்பொருளானது பல்வேறு த்ரெட்களில் இயங்கும் பல தொகுதிகளை உள்ளடக்கியது:
- கிராக்கர் - தாக்கப்பட்ட சேவையகங்களில் கடவுச்சொற்களைத் தேடுகிறது.
- CryptoComm + பார்சர் - மறைகுறியாக்கப்பட்ட P2P இணைப்பை ஒழுங்கமைக்கிறது.
- CastVotes என்பது தாக்குதலுக்கான இலக்கு ஹோஸ்ட்களை கூட்டாக தேர்ந்தெடுப்பதற்கான ஒரு பொறிமுறையாகும்.
- TargetFeed - அண்டை முனைகளிலிருந்து தாக்கும் முனைகளின் பட்டியலைப் பெறுகிறது.
- DeployMgmt என்பது சமரசம் செய்யப்பட்ட சேவையகத்திற்கு தீங்கிழைக்கும் குறியீட்டை விநியோகிக்கும் புழுவின் செயலாக்கமாகும்.
- சொந்தமானது - ஏற்கனவே தீங்கிழைக்கும் குறியீட்டை இயக்கும் சேவையகங்களுடன் இணைப்பதற்கான பொறுப்பு.
- அசெம்பிள் - தனித்தனியாக மாற்றப்பட்ட தொகுதிகளிலிருந்து ஒரு கோப்பை நினைவகத்தில் சேகரிக்கிறது.
- Antivir - போட்டியிடும் தீம்பொருளை அடக்குவதற்கான ஒரு தொகுதி, CPU வளங்களை உட்கொள்ளும் “xmr” சரம் மூலம் செயல்முறைகளை அடையாளம் கண்டு நிறுத்துகிறது.
- Libexec என்பது Monero கிரிப்டோகரன்சியை சுரங்கப்படுத்துவதற்கான ஒரு தொகுதி ஆகும்.
FritzFrog இல் பயன்படுத்தப்படும் P2P நெறிமுறை முனைகளுக்கு இடையில் தரவை மாற்றுதல், இயங்கும் ஸ்கிரிப்ட்கள், தீம்பொருள் கூறுகளை மாற்றுதல், வாக்குப்பதிவு நிலை, பதிவுகளை பரிமாறிக்கொள்வது, ப்ராக்ஸிகளைத் தொடங்குதல் போன்றவற்றிற்கு பொறுப்பான சுமார் 30 கட்டளைகளை ஆதரிக்கிறது. JSON வடிவத்தில் வரிசைப்படுத்துதலுடன் தனி மறைகுறியாக்கப்பட்ட சேனலில் தகவல் அனுப்பப்படுகிறது. குறியாக்கம் சமச்சீரற்ற AES சைபர் மற்றும் Base64 குறியாக்கத்தைப் பயன்படுத்துகிறது. முக்கிய பரிமாற்றத்திற்கு DH நெறிமுறை பயன்படுத்தப்படுகிறது () நிலையைத் தீர்மானிக்க, முனைகள் தொடர்ந்து பிங் கோரிக்கைகளை பரிமாறிக் கொள்கின்றன.
அனைத்து பாட்நெட் முனைகளும் தாக்கப்பட்ட மற்றும் சமரசம் செய்யப்பட்ட அமைப்புகள் பற்றிய தகவல்களுடன் விநியோகிக்கப்பட்ட தரவுத்தளத்தை பராமரிக்கின்றன. பாட்நெட் முழுவதும் தாக்குதல் இலக்குகள் ஒத்திசைக்கப்படுகின்றன - ஒவ்வொரு முனையும் ஒரு தனி இலக்கைத் தாக்குகிறது, அதாவது. இரண்டு வெவ்வேறு பாட்நெட் முனைகள் ஒரே ஹோஸ்டைத் தாக்காது. இலவச நினைவக அளவு, இயக்க நேரம், CPU சுமை மற்றும் SSH உள்நுழைவு செயல்பாடு போன்ற உள்ளூர் புள்ளிவிவரங்களையும் முனைகள் சேகரித்து அனுப்புகின்றன. சுரங்க செயல்முறையைத் தொடங்கலாமா அல்லது பிற அமைப்புகளைத் தாக்குவதற்கு மட்டுமே முனையைப் பயன்படுத்தலாமா என்பதைத் தீர்மானிக்க இந்தத் தகவல் பயன்படுத்தப்படுகிறது (உதாரணமாக, ஏற்றப்பட்ட அமைப்புகள் அல்லது அடிக்கடி நிர்வாகி இணைப்புகளைக் கொண்ட கணினிகளில் சுரங்கம் தொடங்காது).
FritzFrog ஐ அடையாளம் காண, ஆராய்ச்சியாளர்கள் எளிமையான ஒன்றை முன்மொழிந்துள்ளனர் . கணினி சேதத்தை தீர்மானிக்க
போர்ட் 1234 இல் கேட்கும் இணைப்பு இருப்பது போன்ற அறிகுறிகள், இருப்பு authorized_keys இல் (அனைத்து முனைகளிலும் ஒரே SSH விசை நிறுவப்பட்டுள்ளது) மற்றும் இயங்கும் செயல்முறைகளின் நினைவகத்தில் இருப்பது “ifconfig”, “libexec”, “php-fpm” மற்றும் “nginx” தொடர்புடைய இயங்கக்கூடிய கோப்புகள் (“/proc/ /exe" தொலைநிலைக் கோப்பைக் குறிக்கிறது). நெட்வொர்க் போர்ட் 5555 இல் ட்ராஃபிக் இருப்பதும் ஒரு அறிகுறியாக இருக்கலாம், இது Monero கிரிப்டோகரன்சியின் சுரங்கத்தின் போது வழக்கமான வலையமைப்பான web.xmrpool.eu ஐ மால்வேர் அணுகும்போது ஏற்படும்.
ஆதாரம்: opennet.ru