గార్డికోర్ కంపెనీ, డేటా సెంటర్లు మరియు క్లౌడ్ సిస్టమ్ల రక్షణలో ప్రత్యేకత కలిగి ఉంది,
బోట్నెట్ను రూపొందించడానికి, యాజమాన్య P2P ప్రోటోకాల్ ఉపయోగించబడుతుంది, దీనిలో నోడ్లు ఒకదానితో ఒకటి సంకర్షణ చెందుతాయి, దాడుల సంస్థను సమన్వయం చేస్తాయి, నెట్వర్క్ యొక్క ఆపరేషన్కు మద్దతు ఇస్తాయి మరియు ఒకదానికొకటి స్థితిని పర్యవేక్షిస్తాయి. SSH ద్వారా అభ్యర్థనలను ఆమోదించే సర్వర్లపై బ్రూట్ఫోర్స్ దాడి చేయడం ద్వారా కొత్త బాధితులు కనుగొనబడ్డారు. కొత్త సర్వర్ కనుగొనబడినప్పుడు, లాగిన్లు మరియు పాస్వర్డ్ల సాధారణ కలయికల నిఘంటువు శోధించబడుతుంది. నియంత్రణ ఏదైనా నోడ్ ద్వారా నిర్వహించబడుతుంది, ఇది బోట్నెట్ ఆపరేటర్లను గుర్తించడం మరియు నిరోధించడం కష్టతరం చేస్తుంది.
పరిశోధకుల అభిప్రాయం ప్రకారం, బోట్నెట్ ఇప్పటికే 500 నోడ్లను కలిగి ఉంది, ఇందులో అనేక విశ్వవిద్యాలయాలు మరియు పెద్ద రైల్వే కంపెనీ సర్వర్లు ఉన్నాయి. విద్యా సంస్థలు, వైద్య కేంద్రాలు, ప్రభుత్వ సంస్థలు, బ్యాంకులు మరియు టెలికమ్యూనికేషన్స్ సంస్థల నెట్వర్క్లు దాడి యొక్క ప్రధాన లక్ష్యాలు అని గుర్తించబడింది. సర్వర్ రాజీపడిన తర్వాత, మోనెరో క్రిప్టోకరెన్సీని మైనింగ్ చేసే ప్రక్రియ దానిపై నిర్వహించబడుతుంది. సందేహాస్పద మాల్వేర్ యొక్క కార్యాచరణ జనవరి 2020 నుండి కనుగొనబడింది.
ఫ్రిట్జ్ఫ్రాగ్ యొక్క ప్రత్యేకత ఏమిటంటే ఇది మొత్తం డేటాను మరియు ఎక్జిక్యూటబుల్ కోడ్ను మెమరీలో మాత్రమే ఉంచుతుంది. డిస్క్లోని మార్పులు అధీకృత_కీస్ ఫైల్కు కొత్త SSH కీని జోడించడం మాత్రమే కలిగి ఉంటాయి, ఇది సర్వర్ని యాక్సెస్ చేయడానికి ఉపయోగించబడుతుంది. సిస్టమ్ ఫైల్లు మార్చబడవు, ఇది చెక్సమ్లను ఉపయోగించి సమగ్రతను తనిఖీ చేసే సిస్టమ్లకు వార్మ్ కనిపించకుండా చేస్తుంది. మెమరీ బ్రూట్-ఫోర్సింగ్ పాస్వర్డ్ల కోసం నిఘంటువులను మరియు మైనింగ్ కోసం డేటాను నిల్వ చేస్తుంది, ఇవి P2P ప్రోటోకాల్ను ఉపయోగించి నోడ్ల మధ్య సమకాలీకరించబడతాయి.
హానికరమైన భాగాలు ifconfig, libexec, php-fpm మరియు nginx ప్రక్రియల వలె మభ్యపెట్టబడతాయి. బోట్నెట్ నోడ్లు తమ పొరుగువారి స్థితిని పర్యవేక్షిస్తాయి మరియు సర్వర్ రీబూట్ చేయబడినా లేదా OSని కూడా మళ్లీ ఇన్స్టాల్ చేసినా (మారిన అధీకృత_కీల ఫైల్ కొత్త సిస్టమ్కు బదిలీ చేయబడితే), అవి హోస్ట్లోని హానికరమైన భాగాలను మళ్లీ సక్రియం చేస్తాయి. కమ్యూనికేషన్ కోసం, ప్రామాణిక SSH ఉపయోగించబడుతుంది - మాల్వేర్ అదనంగా లోకల్ హోస్ట్ ఇంటర్ఫేస్కు బంధించే స్థానిక “నెట్క్యాట్”ని ప్రారంభిస్తుంది మరియు పోర్ట్ 1234లో ట్రాఫిక్ను వింటుంది, ఇది కనెక్ట్ చేయడానికి authorized_keys నుండి కీని ఉపయోగించి SSH టన్నెల్ ద్వారా యాక్సెస్ని బాహ్య హోస్ట్ చేస్తుంది.
FritzFrog కాంపోనెంట్ కోడ్ గోలో వ్రాయబడింది మరియు బహుళ-థ్రెడ్ మోడ్లో నడుస్తుంది. మాల్వేర్ వివిధ థ్రెడ్లలో అమలు చేసే అనేక మాడ్యూల్లను కలిగి ఉంది:
- క్రాకర్ - దాడి చేయబడిన సర్వర్లలో పాస్వర్డ్ల కోసం శోధిస్తుంది.
- క్రిప్టోకామ్ + పార్సర్ - ఎన్క్రిప్టెడ్ P2P కనెక్షన్ని నిర్వహిస్తుంది.
- CastVotes అనేది దాడి కోసం టార్గెట్ హోస్ట్లను సంయుక్తంగా ఎంచుకునే విధానం.
- TargetFeed - పొరుగు నోడ్ల నుండి దాడి చేయడానికి నోడ్ల జాబితాను అందుకుంటుంది.
- DeployMgmt అనేది రాజీపడిన సర్వర్కు హానికరమైన కోడ్ను పంపిణీ చేసే వార్మ్ యొక్క అమలు.
- స్వంతం - ఇప్పటికే హానికరమైన కోడ్ని అమలు చేస్తున్న సర్వర్లకు కనెక్ట్ చేయడానికి బాధ్యత వహిస్తుంది.
- సమీకరించండి - విడిగా బదిలీ చేయబడిన బ్లాక్ల నుండి మెమరీలో ఫైల్ను సమీకరించండి.
- యాంటీవైర్ - పోటీ మాల్వేర్ను అణిచివేసేందుకు ఒక మాడ్యూల్, CPU వనరులను వినియోగించే స్ట్రింగ్ “xmr”తో ప్రక్రియలను గుర్తిస్తుంది మరియు రద్దు చేస్తుంది.
- లిబెక్సెక్ అనేది మోనెరో క్రిప్టోకరెన్సీని తవ్వడానికి ఒక మాడ్యూల్.
ఫ్రిట్జ్ఫ్రాగ్లో ఉపయోగించిన P2P ప్రోటోకాల్ నోడ్ల మధ్య డేటాను బదిలీ చేయడం, స్క్రిప్ట్లను అమలు చేయడం, మాల్వేర్ భాగాలను బదిలీ చేయడం, పోలింగ్ స్థితి, లాగ్లను మార్పిడి చేయడం, ప్రాక్సీలను ప్రారంభించడం మొదలైన వాటికి బాధ్యత వహించే 30 ఆదేశాలకు మద్దతు ఇస్తుంది. JSON ఫార్మాట్లో సీరియలైజేషన్తో ప్రత్యేక ఎన్క్రిప్టెడ్ ఛానెల్ ద్వారా సమాచారం ప్రసారం చేయబడుతుంది. ఎన్క్రిప్షన్ అసమాన AES సాంకేతికలిపి మరియు Base64 ఎన్కోడింగ్ని ఉపయోగిస్తుంది. కీ మార్పిడి కోసం DH ప్రోటోకాల్ ఉపయోగించబడుతుంది (
అన్ని బోట్నెట్ నోడ్లు దాడి చేయబడిన మరియు రాజీపడిన సిస్టమ్ల గురించిన సమాచారంతో పంపిణీ చేయబడిన డేటాబేస్ను నిర్వహిస్తాయి. దాడి లక్ష్యాలు బోట్నెట్ అంతటా సమకాలీకరించబడతాయి - ప్రతి నోడ్ ప్రత్యేక లక్ష్యంపై దాడి చేస్తుంది, అనగా. రెండు వేర్వేరు బోట్నెట్ నోడ్లు ఒకే హోస్ట్పై దాడి చేయవు. నోడ్లు ఉచిత మెమరీ పరిమాణం, సమయ వ్యవధి, CPU లోడ్ మరియు SSH లాగిన్ యాక్టివిటీ వంటి స్థానిక గణాంకాలను కూడా సేకరించి, ఇరుగుపొరుగు వారికి ప్రసారం చేస్తాయి. మైనింగ్ ప్రక్రియను ప్రారంభించాలా లేదా ఇతర సిస్టమ్లపై దాడి చేయడానికి మాత్రమే నోడ్ను ఉపయోగించాలా అని నిర్ణయించడానికి ఈ సమాచారం ఉపయోగించబడుతుంది (ఉదాహరణకు, లోడ్ చేయబడిన సిస్టమ్లు లేదా తరచుగా అడ్మినిస్ట్రేటర్ కనెక్షన్లు ఉన్న సిస్టమ్లలో మైనింగ్ ప్రారంభించబడదు).
ఫ్రిట్జ్ఫ్రాగ్ను గుర్తించడానికి, పరిశోధకులు సరళమైన విధానాన్ని ప్రతిపాదించారు
పోర్ట్ 1234లో లిజనింగ్ కనెక్షన్ ఉండటం, ఉనికి వంటి సంకేతాలు
మూలం: opennet.ru