گارڈیکور کمپنی، ڈیٹا سینٹرز اور کلاؤڈ سسٹم کے تحفظ میں مہارت رکھتی ہے، FritzFrog، ایک نیا ہائی ٹیک میلویئر جو لینکس پر مبنی سرورز پر حملہ کرتا ہے۔ FritzFrog ایک کیڑے کو یکجا کرتا ہے جو ایک کھلی SSH پورٹ کے ساتھ سرورز پر بروٹ فورس حملے کے ذریعے پھیلتا ہے، اور ایک غیر مرکزی بوٹ نیٹ بنانے کے لیے اجزاء کو جوڑتا ہے جو کنٹرول نوڈس کے بغیر کام کرتا ہے اور اس میں ناکامی کا کوئی نقطہ نہیں ہوتا ہے۔
بوٹ نیٹ بنانے کے لیے، ایک ملکیتی P2P پروٹوکول استعمال کیا جاتا ہے، جس میں نوڈس ایک دوسرے کے ساتھ تعامل کرتے ہیں، حملوں کی تنظیم کو مربوط کرتے ہیں، نیٹ ورک کے آپریشن کو سپورٹ کرتے ہیں اور ایک دوسرے کی حیثیت کی نگرانی کرتے ہیں۔ نئے متاثرین ایسے سرورز پر بروٹ فورس حملہ کرتے ہوئے پائے جاتے ہیں جو SSH کے ذریعے درخواستیں قبول کرتے ہیں۔ جب کسی نئے سرور کا پتہ چل جاتا ہے، لاگ ان اور پاس ورڈز کے مخصوص امتزاج کی ایک لغت تلاش کی جاتی ہے۔ کسی بھی نوڈ کے ذریعے کنٹرول کیا جا سکتا ہے، جس کی وجہ سے بوٹ نیٹ آپریٹرز کی شناخت اور بلاک کرنا مشکل ہو جاتا ہے۔
محققین کے مطابق، بوٹ نیٹ میں پہلے سے ہی تقریباً 500 نوڈس ہیں، جن میں کئی یونیورسٹیوں کے سرورز اور ایک بڑی ریلوے کمپنی شامل ہے۔ واضح رہے کہ حملے کا اصل اہداف تعلیمی اداروں، طبی مراکز، سرکاری ایجنسیوں، بینکوں اور ٹیلی کمیونیکیشن کمپنیوں کے نیٹ ورکس ہیں۔ سرور سے سمجھوتہ کرنے کے بعد، Monero cryptocurrency کی کان کنی کا عمل اس پر منظم کیا جاتا ہے۔ زیر بحث میلویئر کی سرگرمی جنوری 2020 سے ٹریس کی گئی ہے۔
FritzFrog کی خاص بات یہ ہے کہ یہ تمام ڈیٹا اور قابل عمل کوڈ کو صرف میموری میں رکھتا ہے۔ ڈسک میں تبدیلیاں صرف مجاز_کیز فائل میں ایک نئی SSH کلید شامل کرنے پر مشتمل ہوتی ہیں، جو بعد میں سرور تک رسائی کے لیے استعمال ہوتی ہے۔ سسٹم فائلوں کو تبدیل نہیں کیا جاتا ہے، جو کیڑے کو ان سسٹمز کے لیے پوشیدہ بناتا ہے جو چیکسم کا استعمال کرتے ہوئے سالمیت کی جانچ کرتے ہیں۔ میموری میں بروٹ فورسنگ پاس ورڈز اور کان کنی کے لیے ڈیٹا کے لیے لغات بھی ذخیرہ کیے جاتے ہیں، جو P2P پروٹوکول کا استعمال کرتے ہوئے نوڈس کے درمیان ہم آہنگ ہوتے ہیں۔
بدنیتی پر مبنی اجزاء کو ifconfig، libexec، php-fpm اور nginx عمل کے طور پر چھپایا جاتا ہے۔ Botnet نوڈس اپنے پڑوسیوں کی حالت کی نگرانی کرتے ہیں اور، اگر سرور کو دوبارہ شروع کیا جاتا ہے یا یہاں تک کہ OS کو دوبارہ انسٹال کیا جاتا ہے (اگر ایک ترمیم شدہ مجاز_کیز فائل کو نئے سسٹم میں منتقل کیا گیا تھا)، تو وہ میزبان پر بدنیتی پر مبنی اجزاء کو دوبارہ فعال کرتے ہیں۔ مواصلات کے لیے، معیاری SSH استعمال کیا جاتا ہے - میلویئر اس کے علاوہ ایک مقامی "نیٹ کیٹ" بھی لانچ کرتا ہے جو لوکل ہوسٹ انٹرفیس سے منسلک ہوتا ہے اور پورٹ 1234 پر ٹریفک کو سنتا ہے، جو کہ SSH ٹنل کے ذریعے بیرونی میزبانوں تک رسائی حاصل کرتا ہے، رابطہ کرنے کے لیے authorized_keys سے کلید کا استعمال کرتے ہوئے۔
FritzFrog جزو کوڈ Go میں لکھا گیا ہے اور ملٹی تھریڈڈ موڈ میں چلتا ہے۔ میلویئر میں کئی ماڈیولز شامل ہیں جو مختلف تھریڈز میں چلتے ہیں:
- کریکر - حملہ شدہ سرورز پر پاس ورڈ تلاش کرتا ہے۔
- CryptoComm + Parser - ایک خفیہ کردہ P2P کنکشن کو منظم کرتا ہے۔
- CastVotes حملے کے لیے مشترکہ طور پر ہدف کے میزبانوں کو منتخب کرنے کا ایک طریقہ کار ہے۔
- TargetFeed - پڑوسی نوڈس سے حملہ کرنے کے لیے نوڈس کی فہرست حاصل کرتا ہے۔
- DeployMgmt ایک کیڑے کا نفاذ ہے جو نقصان دہ کوڈ کو سمجھوتہ کرنے والے سرور میں تقسیم کرتا ہے۔
- ملکیت - ان سرورز سے منسلک ہونے کے لیے ذمہ دار جو پہلے سے ہی بدنیتی پر مبنی کوڈ چلا رہے ہیں۔
- جمع - الگ سے منتقل شدہ بلاکس سے میموری میں فائل کو جمع کرتا ہے۔
- اینٹی ویر - مقابلہ کرنے والے میلویئر کو دبانے کے لیے ایک ماڈیول، "xmr" سٹرنگ کے ساتھ عمل کی نشاندہی کرتا ہے اور اسے ختم کرتا ہے جو CPU وسائل استعمال کرتے ہیں۔
- Libexec Monero cryptocurrency کی کان کنی کے لیے ایک ماڈیول ہے۔
FritzFrog میں استعمال ہونے والا P2P پروٹوکول تقریباً 30 کمانڈز کو سپورٹ کرتا ہے جو نوڈس کے درمیان ڈیٹا کی منتقلی، اسکرپٹ کو چلانے، مالویئر کے اجزاء کی منتقلی، پولنگ سٹیٹس، لاگز کا تبادلہ، پراکسی شروع کرنے وغیرہ کے لیے ذمہ دار ہیں۔ معلومات کو JSON فارمیٹ میں سیریلائزیشن کے ساتھ ایک الگ انکرپٹڈ چینل پر منتقل کیا جاتا ہے۔ خفیہ کاری غیر متناسب AES سائفر اور Base64 انکوڈنگ کا استعمال کرتی ہے۔ ڈی ایچ پروٹوکول کلیدی تبادلے کے لیے استعمال ہوتا ہے ()۔ ریاست کا تعین کرنے کے لیے، نوڈس مسلسل پنگ کی درخواستوں کا تبادلہ کرتے ہیں۔
تمام بوٹ نیٹ نوڈس حملہ شدہ اور سمجھوتہ شدہ نظاموں کے بارے میں معلومات کے ساتھ تقسیم شدہ ڈیٹا بیس کو برقرار رکھتے ہیں۔ حملے کے اہداف پورے بوٹ نیٹ میں ہم آہنگ ہوتے ہیں - ہر نوڈ ایک الگ ہدف پر حملہ کرتا ہے، یعنی دو مختلف بوٹ نیٹ نوڈس ایک ہی میزبان پر حملہ نہیں کریں گے۔ نوڈس مقامی اعدادوشمار بھی جمع کرتے ہیں اور پڑوسیوں کو منتقل کرتے ہیں، جیسے مفت میموری کا سائز، اپ ٹائم، CPU لوڈ، اور SSH لاگ ان سرگرمی۔ اس معلومات کا استعمال یہ فیصلہ کرنے کے لیے کیا جاتا ہے کہ آیا کان کنی کا عمل شروع کرنا ہے یا نوڈ کو صرف دوسرے سسٹمز پر حملہ کرنے کے لیے استعمال کیا جاتا ہے (مثال کے طور پر، کان کنی بھاری بھرکم سسٹمز یا سسٹمز پر بار بار ایڈمنسٹریٹر کنکشنز کے ساتھ شروع نہیں ہوتی ہے)۔
FritzFrog کی شناخت کے لئے، محققین نے ایک سادہ تجویز کی ہے . نظام کے نقصان کا تعین کرنے کے لئے
پورٹ 1234 پر سننے کے کنکشن کی موجودگی جیسی علامات مجاز_کیز میں (ایک ہی SSH کلید تمام نوڈس پر انسٹال ہے) اور "ifconfig"، "libexec"، "php-fpm" اور "nginx" چلانے والے پروسیسز کی یاد میں موجودگی جن میں قابل عمل فائلیں نہیں ہیں ("/proc/" /exe" ریموٹ فائل کی طرف اشارہ کرتا ہے)۔ ایک نشانی نیٹ ورک پورٹ 5555 پر ٹریفک کی موجودگی بھی ہو سکتی ہے، جو اس وقت ہوتی ہے جب مالویئر Monero cryptocurrency کی کان کنی کے دوران مخصوص پول web.xmrpool.eu تک رسائی حاصل کرتا ہے۔
ماخذ: opennet.ru