Veri merkezleri ve bulut sistemlerinin korunması konusunda uzmanlaşmış Guardicore şirketi, FritzFrog, Linux tabanlı sunuculara saldıran yeni bir yüksek teknoloji ürünü kötü amaçlı yazılım. FritzFrog, açık SSH bağlantı noktasına sahip sunuculara kaba kuvvet saldırısı yoluyla yayılan bir solucanı ve bileşenleri kontrol düğümleri olmadan çalışan ve tek bir hata noktası olmayan merkezi olmayan bir botnet oluşturmak için birleştirir.
Bir botnet oluşturmak için, düğümlerin birbirleriyle etkileşime girdiği, saldırı organizasyonunu koordine ettiği, ağın çalışmasını desteklediği ve birbirlerinin durumunu izlediği özel bir P2P protokolü kullanılır. SSH üzerinden istekleri kabul eden sunuculara bruteforce saldırısı yapılarak yeni kurbanlar bulunur. Yeni bir sunucu tespit edildiğinde, tipik kullanıcı adı ve şifre kombinasyonlarından oluşan bir sözlük aranır. Kontrol herhangi bir düğüm üzerinden gerçekleştirilebilir, bu da botnet operatörlerinin tanımlanmasını ve engellenmesini zorlaştırır.
Araştırmacılara göre botnet'te halihazırda çeşitli üniversitelerin ve büyük bir demiryolu şirketinin sunucuları da dahil olmak üzere yaklaşık 500 düğüm bulunuyor. Saldırının ana hedeflerinin eğitim kurumları, tıp merkezleri, devlet kurumları, bankalar ve telekomünikasyon şirketlerinin ağları olduğu kaydedildi. Sunucunun güvenliği ihlal edildikten sonra, Monero kripto para biriminin madenciliği süreci onun üzerinde düzenlenir. Söz konusu kötü amaçlı yazılımın etkinliği Ocak 2020'den bu yana takip ediliyor.
FritzFrog'un özelliği tüm verileri ve çalıştırılabilir kodları yalnızca bellekte tutmasıdır. Diskteki değişiklikler yalnızca, daha sonra sunucuya erişmek için kullanılacak olan yetkili_anahtarlar dosyasına yeni bir SSH anahtarının eklenmesinden oluşur. Sistem dosyaları değiştirilmez; bu da solucanın, sağlama toplamlarını kullanarak bütünlüğü kontrol eden sistemler için görünmez olmasını sağlar. Bellek ayrıca, P2P protokolünü kullanarak düğümler arasında senkronize edilen, kaba kuvvet şifreleri ve madencilik verileri için sözlükleri de saklar.
Kötü amaçlı bileşenler ifconfig, libexec, php-fpm ve nginx işlemleri gibi kamufle edilir. Botnet düğümleri komşularının durumunu izler ve sunucu yeniden başlatılırsa veya hatta işletim sistemi yeniden yüklenirse (değiştirilmiş bir yetkili_anahtarlar dosyası yeni sisteme aktarılmışsa), ana bilgisayardaki kötü amaçlı bileşenleri yeniden etkinleştirir. İletişim için standart SSH kullanılır - kötü amaçlı yazılım ayrıca localhost arayüzüne bağlanan yerel bir "netcat" başlatır ve harici ana bilgisayarların bağlanmak için yetkili_anahtarlardan bir anahtar kullanarak bir SSH tüneli üzerinden eriştiği 1234 numaralı bağlantı noktasındaki trafiği dinler.
FritzFrog bileşen kodu Go'da yazılmıştır ve çok iş parçacıklı modda çalışır. Kötü amaçlı yazılım, farklı iş parçacıklarında çalışan çeşitli modüller içerir:
- Cracker - saldırıya uğrayan sunuculardaki şifreleri arar.
- CryptoComm + Ayrıştırıcı - şifreli bir P2P bağlantısı düzenler.
- CastVotes, saldırı için hedef sunucuların ortaklaşa seçilmesine yönelik bir mekanizmadır.
- TargetFeed - Komşu düğümlerden saldırılacak düğümlerin bir listesini alır.
- DeployMgmt, güvenliği ihlal edilmiş bir sunucuya kötü amaçlı kod dağıtan bir solucan uygulamasıdır.
- Sahip olunan - Zaten kötü amaçlı kod çalıştıran sunuculara bağlanmaktan sorumludur.
- Birleştir - ayrı olarak aktarılan bloklardan bellekteki bir dosyayı birleştirir.
- Antivir - rakip kötü amaçlı yazılımları bastırmaya yönelik bir modül, CPU kaynaklarını tüketen "xmr" dizesiyle işlemleri tanımlar ve sonlandırır.
- Libexec, Monero kripto para biriminin madenciliği için bir modüldür.
FritzFrog'da kullanılan P2P protokolü, düğümler arasında veri aktarımından, komut dosyalarının çalıştırılmasından, kötü amaçlı yazılım bileşenlerinin aktarılmasından, yoklama durumundan, günlük alışverişinden, proxy'lerin başlatılmasından vb. sorumlu yaklaşık 30 komutu destekler. Bilgiler, JSON formatında serileştirme ile ayrı bir şifreli kanal üzerinden iletilir. Şifreleme, asimetrik AES şifresini ve Base64 kodlamasını kullanır. DH protokolü anahtar değişimi için kullanılır (). Durumu belirlemek için düğümler sürekli olarak ping istekleri alışverişinde bulunur.
Tüm botnet düğümleri, saldırıya uğrayan ve güvenliği ihlal edilen sistemler hakkında bilgi içeren dağıtılmış bir veritabanı tutar. Saldırı hedefleri botnet boyunca senkronize edilir; her düğüm ayrı bir hedefe saldırır; iki farklı botnet düğümü aynı ana bilgisayara saldırmayacaktır. Düğümler ayrıca boş bellek boyutu, çalışma süresi, CPU yükü ve SSH oturum açma etkinliği gibi yerel istatistikleri de toplar ve komşulara iletir. Bu bilgiler, madencilik sürecinin başlatılıp başlatılmayacağına veya düğümün yalnızca diğer sistemlere saldırmak için mi kullanılacağına karar vermek için kullanılır (örneğin, madencilik, yüklü sistemlerde veya sık yönetici bağlantısı olan sistemlerde başlamaz).
FritzFrog'u tanımlamak için araştırmacılar basit bir öneride bulundu: . Sistem hasarını belirlemek için
1234 numaralı bağlantı noktasında bir dinleme bağlantısının varlığı, varlığı gibi işaretler yetkili_anahtarlarda (tüm düğümlerde aynı SSH anahtarı kuruludur) ve ilişkili yürütülebilir dosyalara sahip olmayan çalışan “ifconfig”, “libexec”, “php-fpm” ve “nginx” işlemlerinin hafızasında bulunması (“/proc/) /exe" uzak bir dosyayı işaret eder). Kötü amaçlı yazılım, Monero kripto para biriminin madenciliği sırasında tipik web.xmrpool.eu havuzuna eriştiğinde ortaya çıkan, ağ bağlantı noktası 5555'te trafik varlığı da bir işaret olabilir.
Kaynak: opennet.ru