ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > ఫ్రిట్జ్‌ఫ్రాగ్ వార్మ్ గుర్తించబడింది, SSH ద్వారా సర్వర్‌లకు సోకుతుంది మరియు వికేంద్రీకృత బోట్‌నెట్‌ను రూపొందించింది

ఫ్రిట్జ్‌ఫ్రాగ్ వార్మ్ గుర్తించబడింది, SSH ద్వారా సర్వర్‌లకు సోకుతుంది మరియు వికేంద్రీకృత బోట్‌నెట్‌ను రూపొందించింది

గార్డికోర్ కంపెనీ, డేటా సెంటర్లు మరియు క్లౌడ్ సిస్టమ్‌ల రక్షణలో ప్రత్యేకత కలిగి ఉంది, వెల్లడించారు FritzFrog, Linux ఆధారిత సర్వర్‌లపై దాడి చేసే కొత్త హైటెక్ మాల్వేర్. ఫ్రిట్జ్‌ఫ్రాగ్ ఓపెన్ SSH పోర్ట్‌తో సర్వర్‌లపై బ్రూట్‌ఫోర్స్ దాడి ద్వారా వ్యాపించే పురుగును మిళితం చేస్తుంది మరియు నియంత్రణ నోడ్‌లు లేకుండా పనిచేసే వికేంద్రీకృత బోట్‌నెట్‌ను రూపొందించడానికి భాగాలు మరియు వైఫల్యం ఏదీ లేదు.

బోట్‌నెట్‌ను రూపొందించడానికి, యాజమాన్య P2P ప్రోటోకాల్ ఉపయోగించబడుతుంది, దీనిలో నోడ్‌లు ఒకదానితో ఒకటి సంకర్షణ చెందుతాయి, దాడుల సంస్థను సమన్వయం చేస్తాయి, నెట్‌వర్క్ యొక్క ఆపరేషన్‌కు మద్దతు ఇస్తాయి మరియు ఒకదానికొకటి స్థితిని పర్యవేక్షిస్తాయి. SSH ద్వారా అభ్యర్థనలను ఆమోదించే సర్వర్‌లపై బ్రూట్‌ఫోర్స్ దాడి చేయడం ద్వారా కొత్త బాధితులు కనుగొనబడ్డారు. కొత్త సర్వర్ కనుగొనబడినప్పుడు, లాగిన్‌లు మరియు పాస్‌వర్డ్‌ల సాధారణ కలయికల నిఘంటువు శోధించబడుతుంది. నియంత్రణ ఏదైనా నోడ్ ద్వారా నిర్వహించబడుతుంది, ఇది బోట్‌నెట్ ఆపరేటర్‌లను గుర్తించడం మరియు నిరోధించడం కష్టతరం చేస్తుంది.

పరిశోధకుల అభిప్రాయం ప్రకారం, బోట్‌నెట్ ఇప్పటికే 500 నోడ్‌లను కలిగి ఉంది, ఇందులో అనేక విశ్వవిద్యాలయాలు మరియు పెద్ద రైల్వే కంపెనీ సర్వర్లు ఉన్నాయి. విద్యా సంస్థలు, వైద్య కేంద్రాలు, ప్రభుత్వ సంస్థలు, బ్యాంకులు మరియు టెలికమ్యూనికేషన్స్ సంస్థల నెట్‌వర్క్‌లు దాడి యొక్క ప్రధాన లక్ష్యాలు అని గుర్తించబడింది. సర్వర్ రాజీపడిన తర్వాత, మోనెరో క్రిప్టోకరెన్సీని మైనింగ్ చేసే ప్రక్రియ దానిపై నిర్వహించబడుతుంది. సందేహాస్పద మాల్వేర్ యొక్క కార్యాచరణ జనవరి 2020 నుండి కనుగొనబడింది.

ఫ్రిట్జ్‌ఫ్రాగ్ యొక్క ప్రత్యేకత ఏమిటంటే ఇది మొత్తం డేటాను మరియు ఎక్జిక్యూటబుల్ కోడ్‌ను మెమరీలో మాత్రమే ఉంచుతుంది. డిస్క్‌లోని మార్పులు అధీకృత_కీస్ ఫైల్‌కు కొత్త SSH కీని జోడించడం మాత్రమే కలిగి ఉంటాయి, ఇది సర్వర్‌ని యాక్సెస్ చేయడానికి ఉపయోగించబడుతుంది. సిస్టమ్ ఫైల్‌లు మార్చబడవు, ఇది చెక్‌సమ్‌లను ఉపయోగించి సమగ్రతను తనిఖీ చేసే సిస్టమ్‌లకు వార్మ్ కనిపించకుండా చేస్తుంది. మెమరీ బ్రూట్-ఫోర్సింగ్ పాస్‌వర్డ్‌ల కోసం నిఘంటువులను మరియు మైనింగ్ కోసం డేటాను నిల్వ చేస్తుంది, ఇవి P2P ప్రోటోకాల్‌ను ఉపయోగించి నోడ్‌ల మధ్య సమకాలీకరించబడతాయి.

హానికరమైన భాగాలు ifconfig, libexec, php-fpm మరియు nginx ప్రక్రియల వలె మభ్యపెట్టబడతాయి. బోట్‌నెట్ నోడ్‌లు తమ పొరుగువారి స్థితిని పర్యవేక్షిస్తాయి మరియు సర్వర్ రీబూట్ చేయబడినా లేదా OSని కూడా మళ్లీ ఇన్‌స్టాల్ చేసినా (మారిన అధీకృత_కీల ఫైల్ కొత్త సిస్టమ్‌కు బదిలీ చేయబడితే), అవి హోస్ట్‌లోని హానికరమైన భాగాలను మళ్లీ సక్రియం చేస్తాయి. కమ్యూనికేషన్ కోసం, ప్రామాణిక SSH ఉపయోగించబడుతుంది - మాల్వేర్ అదనంగా లోకల్ హోస్ట్ ఇంటర్‌ఫేస్‌కు బంధించే స్థానిక “నెట్‌క్యాట్”ని ప్రారంభిస్తుంది మరియు పోర్ట్ 1234లో ట్రాఫిక్‌ను వింటుంది, ఇది కనెక్ట్ చేయడానికి authorized_keys నుండి కీని ఉపయోగించి SSH టన్నెల్ ద్వారా యాక్సెస్‌ని బాహ్య హోస్ట్ చేస్తుంది.

ఫ్రిట్జ్‌ఫ్రాగ్ వార్మ్ గుర్తించబడింది, SSH ద్వారా సర్వర్‌లకు సోకుతుంది మరియు వికేంద్రీకృత బోట్‌నెట్‌ను రూపొందించింది

FritzFrog కాంపోనెంట్ కోడ్ గోలో వ్రాయబడింది మరియు బహుళ-థ్రెడ్ మోడ్‌లో నడుస్తుంది. మాల్వేర్ వివిధ థ్రెడ్‌లలో అమలు చేసే అనేక మాడ్యూల్‌లను కలిగి ఉంది:

  • క్రాకర్ - దాడి చేయబడిన సర్వర్‌లలో పాస్‌వర్డ్‌ల కోసం శోధిస్తుంది.
  • క్రిప్టోకామ్ + పార్సర్ - ఎన్‌క్రిప్టెడ్ P2P కనెక్షన్‌ని నిర్వహిస్తుంది.
  • CastVotes అనేది దాడి కోసం టార్గెట్ హోస్ట్‌లను సంయుక్తంగా ఎంచుకునే విధానం.
  • TargetFeed - పొరుగు నోడ్‌ల నుండి దాడి చేయడానికి నోడ్‌ల జాబితాను అందుకుంటుంది.
  • DeployMgmt అనేది రాజీపడిన సర్వర్‌కు హానికరమైన కోడ్‌ను పంపిణీ చేసే వార్మ్ యొక్క అమలు.
  • స్వంతం - ఇప్పటికే హానికరమైన కోడ్‌ని అమలు చేస్తున్న సర్వర్‌లకు కనెక్ట్ చేయడానికి బాధ్యత వహిస్తుంది.
  • సమీకరించండి - విడిగా బదిలీ చేయబడిన బ్లాక్‌ల నుండి మెమరీలో ఫైల్‌ను సమీకరించండి.
  • యాంటీవైర్ - పోటీ మాల్వేర్‌ను అణిచివేసేందుకు ఒక మాడ్యూల్, CPU వనరులను వినియోగించే స్ట్రింగ్ “xmr”తో ప్రక్రియలను గుర్తిస్తుంది మరియు రద్దు చేస్తుంది.
  • లిబెక్సెక్ అనేది మోనెరో క్రిప్టోకరెన్సీని తవ్వడానికి ఒక మాడ్యూల్.

ఫ్రిట్జ్‌ఫ్రాగ్‌లో ఉపయోగించిన P2P ప్రోటోకాల్ నోడ్‌ల మధ్య డేటాను బదిలీ చేయడం, స్క్రిప్ట్‌లను అమలు చేయడం, మాల్వేర్ భాగాలను బదిలీ చేయడం, పోలింగ్ స్థితి, లాగ్‌లను మార్పిడి చేయడం, ప్రాక్సీలను ప్రారంభించడం మొదలైన వాటికి బాధ్యత వహించే 30 ఆదేశాలకు మద్దతు ఇస్తుంది. JSON ఫార్మాట్‌లో సీరియలైజేషన్‌తో ప్రత్యేక ఎన్‌క్రిప్టెడ్ ఛానెల్ ద్వారా సమాచారం ప్రసారం చేయబడుతుంది. ఎన్‌క్రిప్షన్ అసమాన AES సాంకేతికలిపి మరియు Base64 ఎన్‌కోడింగ్‌ని ఉపయోగిస్తుంది. కీ మార్పిడి కోసం DH ప్రోటోకాల్ ఉపయోగించబడుతుంది (-హెల్మన్) స్థితిని నిర్ణయించడానికి, నోడ్స్ నిరంతరం పింగ్ అభ్యర్థనలను మార్పిడి చేస్తాయి.

అన్ని బోట్‌నెట్ నోడ్‌లు దాడి చేయబడిన మరియు రాజీపడిన సిస్టమ్‌ల గురించిన సమాచారంతో పంపిణీ చేయబడిన డేటాబేస్‌ను నిర్వహిస్తాయి. దాడి లక్ష్యాలు బోట్‌నెట్ అంతటా సమకాలీకరించబడతాయి - ప్రతి నోడ్ ప్రత్యేక లక్ష్యంపై దాడి చేస్తుంది, అనగా. రెండు వేర్వేరు బోట్‌నెట్ నోడ్‌లు ఒకే హోస్ట్‌పై దాడి చేయవు. నోడ్‌లు ఉచిత మెమరీ పరిమాణం, సమయ వ్యవధి, CPU లోడ్ మరియు SSH లాగిన్ యాక్టివిటీ వంటి స్థానిక గణాంకాలను కూడా సేకరించి, ఇరుగుపొరుగు వారికి ప్రసారం చేస్తాయి. మైనింగ్ ప్రక్రియను ప్రారంభించాలా లేదా ఇతర సిస్టమ్‌లపై దాడి చేయడానికి మాత్రమే నోడ్‌ను ఉపయోగించాలా అని నిర్ణయించడానికి ఈ సమాచారం ఉపయోగించబడుతుంది (ఉదాహరణకు, లోడ్ చేయబడిన సిస్టమ్‌లు లేదా తరచుగా అడ్మినిస్ట్రేటర్ కనెక్షన్‌లు ఉన్న సిస్టమ్‌లలో మైనింగ్ ప్రారంభించబడదు).

ఫ్రిట్జ్‌ఫ్రాగ్‌ను గుర్తించడానికి, పరిశోధకులు సరళమైన విధానాన్ని ప్రతిపాదించారు షెల్ స్క్రిప్ట్. సిస్టమ్ నష్టాన్ని నిర్ణయించడానికి
పోర్ట్ 1234లో లిజనింగ్ కనెక్షన్ ఉండటం, ఉనికి వంటి సంకేతాలు హానికరమైన కీ authorized_keysలో (అన్ని నోడ్‌లలో ఒకే SSH కీ ఇన్‌స్టాల్ చేయబడింది) మరియు అనుబంధిత ఎక్జిక్యూటబుల్ ఫైల్‌లు లేని “ifconfig”, “libexec”, “php-fpm” మరియు “nginx” రన్నింగ్ ప్రాసెస్‌ల మెమరీలో ఉనికి (“/proc/ /exe" రిమోట్ ఫైల్‌కి పాయింట్లు). నెట్‌వర్క్ పోర్ట్ 5555లో ట్రాఫిక్ ఉండటం కూడా ఒక సంకేతం కావచ్చు, ఇది Monero క్రిప్టోకరెన్సీ మైనింగ్ సమయంలో మాల్వేర్ సాధారణ పూల్ web.xmrpool.euని యాక్సెస్ చేసినప్పుడు సంభవిస్తుంది.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి