Ширкати Guardicore, ки ба ҳифзи марказҳои додаҳо ва системаҳои абрӣ тахассус дорад, FritzFrog, як нармафзори нави зараровари баландтехнологӣ, ки ба серверҳои Linux асосёфта ҳамла мекунад. FritzFrog як кирмеро, ки тавассути ҳамлаи бераҳмона ба серверҳо бо порти кушодаи SSH паҳн мешавад ва ҷузъҳо барои сохтани ботнети ғайримарказонидашуда, ки бидуни гиреҳҳои назоратӣ кор мекунад ва нуқтаи ягонаи нокомӣ надорад, муттаҳид мекунад.
Барои сохтани ботнет, протоколи хусусии P2P истифода мешавад, ки дар он гиреҳҳо бо ҳамдигар ҳамкорӣ мекунанд, ташкили ҳамлаҳоро ҳамоҳанг мекунанд, кори шабакаро дастгирӣ мекунанд ва ҳолати ҳамдигарро назорат мекунанд. Қурбониёни нав тавассути ҳамлаи бераҳмона ба серверҳое, ки дархостҳоро тавассути SSH қабул мекунанд, пайдо мешаванд. Вақте ки сервери нав ошкор мешавад, луғати маҷмӯи маъмулии логинҳо ва паролҳо ҷустуҷӯ карда мешавад. Назоратро метавон тавассути ҳама гуна гиреҳ анҷом дод, ки муайян ва бастани операторони ботнетро мушкил мекунад.
Ба гуфтаи муҳаққиқон, ботнет аллакай тақрибан 500 гиреҳ, аз ҷумла серверҳои чанд донишгоҳ ва як ширкати бузурги роҳи оҳан дорад. Гуфта мешавад, ки ҳадафҳои аслии ҳамла шабакаҳои муассисаҳои таълимӣ, марказҳои тиббӣ, ниҳодҳои давлатӣ, бонкҳо ва ширкатҳои мухобиротӣ мебошанд. Пас аз вайрон шудани сервер, дар он раванди истихроҷи cryptocurrency Monero ташкил карда мешавад. Фаъолияти нармафзори зараровар аз моҳи январи соли 2020 пайгирӣ карда мешавад.
Хусусияти FritzFrog дар он аст, ки он ҳама маълумот ва рамзи иҷрошавандаро танҳо дар хотира нигоҳ медорад. Тағирот дар диск танҳо аз илова кардани калиди нави SSH ба файли authorized_keys иборат аст, ки баъдан барои дастрасӣ ба сервер истифода мешавад. Файлҳои системавӣ тағир дода намешаванд, ки ин кирмро барои системаҳое, ки якпорчагӣ бо истифода аз ҳисобҳо тафтиш мекунанд, ноаён месозад. Хотира инчунин луғатҳоро барои паролҳои зӯроварӣ ва маълумот барои истихроҷ нигоҳ медорад, ки дар байни гиреҳҳо бо истифода аз протоколи P2P ҳамоҳанг карда мешаванд.
Ҷузъҳои зараровар ҳамчун равандҳои ifconfig, libexec, php-fpm ва nginx пинҳон карда мешаванд. Гиреҳҳои ботнет ҳолати ҳамсояҳои худро назорат мекунанд ва агар сервер бозоғоз карда шавад ё ҳатто ОС аз нав насб карда шавад (агар файли ваколатдори_keys тағирёфта ба системаи нав интиқол дода шуда бошад), онҳо ҷузъҳои зарароварро дар ҳост дубора фаъол мекунанд. Барои иртибот, SSH-и стандартӣ истифода мешавад - нармафзори зараровар ба таври илова "netcat"-и маҳаллиро оғоз мекунад, ки ба интерфейси localhost мепайвандад ва трафикро дар бандари 1234 мешунавад, ки ҳостҳои беруна тавассути нақби SSH бо истифода аз калиди ваколатдори_keys барои пайвастшавӣ дастрасӣ доранд.
Рамзи ҷузъи FritzFrog дар Go навишта шудааст ва дар реҷаи бисёр ришта кор мекунад. Барномаи зараровар якчанд модулҳоро дар бар мегирад, ки дар риштаҳои гуногун кор мекунанд:
- Cracker - паролҳоро дар серверҳои ҳамлашуда ҷустуҷӯ мекунад.
- CryptoComm + Parser - пайвасти рамзгузоришудаи P2P-ро ташкил мекунад.
- CastVotes як механизми интихоби муштараки ҳостҳои мавриди ҳадаф барои ҳамла мебошад.
- TargetFeed - Рӯйхати гиреҳҳоро барои ҳамла аз гиреҳҳои ҳамсоя мегирад.
- DeployMgmt амалисозии кирмест, ки рамзи зарароварро ба сервери осебдида паҳн мекунад.
- Моликият - барои пайвастшавӣ ба серверҳое, ки аллакай рамзи зарароварро иҷро мекунанд, масъул аст.
- Assemble - файлро дар хотира аз блокҳои ҷудогона интиқол медиҳад.
- Antivir - модул барои рафъи нармафзори зараровар, равандҳоро бо сатри "xmr", ки захираҳои CPU-ро истеъмол мекунанд, муайян ва қатъ мекунад.
- Libexec як модул барои истихроҷи cryptocurrency Monero аст.
Протоколи P2P, ки дар FritzFrog истифода мешавад, тақрибан 30 фармонеро дастгирӣ мекунад, ки барои интиқоли маълумот байни гиреҳҳо, иҷро кардани скриптҳо, интиқоли ҷузъҳои зараровар, ҳолати пурсиш, табодули гузоришҳо, оғоз кардани прокси ва ғайра масъуланд. Маълумот тавассути канали алоҳидаи рамзгузоришуда бо силсиласозӣ дар формати JSON интиқол дода мешавад. Рамзгузорӣ рамзгузории асимметрии AES ва рамзгузории Base64-ро истифода мебарад. Протоколи DH барои мубодилаи калид истифода мешавад (). Барои муайян кардани ҳолат, гиреҳҳо пайваста дархостҳои пингро мубодила мекунанд.
Ҳама гиреҳҳои ботнет пойгоҳи додаҳои тақсимшударо бо маълумот дар бораи системаҳои ҳамлашуда ва осебдида нигоҳ медоранд. Ҳадафҳои ҳамла дар тамоми ботнет ҳамоҳанг карда мешаванд - ҳар як гиреҳ ба ҳадафи алоҳида ҳамла мекунад, яъне. ду гиреҳи гуногуни ботнет ба як мизбон ҳамла намекунанд. Гиреҳҳо инчунин омори маҳаллиро ба ҳамсояҳо ҷамъ мекунанд ва интиқол медиҳанд, ба монанди андозаи хотираи озод, вақти корӣ, сарбории CPU ва фаъолияти воридшавии SSH. Ин маълумот барои тасмимгирӣ дар бораи оғози раванди истихроҷи маъдан ё истифодаи гиреҳ танҳо барои ҳамла ба системаҳои дигар истифода мешавад (масалан, истихроҷи маъдан дар системаҳои пурбор ё системаҳое, ки пайвастагиҳои администратор зуд-зуд оғоз намешаванд).
Барои муайян кардани FritzFrog, муҳаққиқон оддӣ пешниҳод карданд . Барои муайян кардани зарари система
аломатҳо ба монанди мавҷудияти пайвасти гӯш дар бандари 1234, ҳузури дар authorized_keys (як калиди SSH дар ҳама гиреҳҳо насб шудааст) ва мавҷудияти равандҳои иҷрошаванда дар хотираи "ifconfig", "libexec", "php-fpm" ва "nginx", ки файлҳои иҷрошавандаи алоқаманд надоранд ("/proc/" /exe" ба файли дурдаст ишора мекунад). Нишона инчунин метавонад мавҷудияти трафик дар бандари шабакавии 5555 бошад, ки вақте ки нармафзори зараровар ба ҳавзи маъмулии web.xmrpool.eu ҳангоми истихроҷи cryptocurrency Monero дастрасӣ пайдо мекунад.
Манбаъ: opennet.ru