Guardicore kompaniyasi ma'lumotlar markazlari va bulut tizimlarini himoya qilishga ixtisoslashgan. FritzFrog, Linux-ga asoslangan serverlarga hujum qiladigan yangi yuqori texnologiyali zararli dastur. FritzFrog ochiq SSH portiga ega serverlarga qo'pol kuch hujumi orqali tarqaladigan qurtni va boshqaruv tugunlarisiz ishlaydigan va bitta nosozlik nuqtasiga ega bo'lmagan markazlashtirilmagan botnetni yaratish uchun komponentlarni birlashtiradi.
Botnetni yaratish uchun tugunlar bir-biri bilan o'zaro aloqada bo'ladigan, hujumlarni tashkil qilishni muvofiqlashtiradigan, tarmoq ishlashini qo'llab-quvvatlaydigan va bir-birining holatini kuzatuvchi xususiy P2P protokoli qo'llaniladi. Yangi qurbonlar SSH orqali so'rovlarni qabul qiladigan serverlarga shafqatsiz hujum qilish orqali topiladi. Yangi server aniqlanganda, login va parollarning odatiy birikmalarining lug'ati qidiriladi. Boshqarish har qanday tugun orqali amalga oshirilishi mumkin, bu esa botnet operatorlarini aniqlash va bloklashni qiyinlashtiradi.
Tadqiqotchilarning fikricha, botnet allaqachon 500 ga yaqin tugunlarga ega, jumladan, bir nechta universitetlar serverlari va yirik temir yo‘l kompaniyasi. Ta`kidlanishicha, hujumning asosiy nishonlari ta`lim muassasalari, tibbiyot markazlari, davlat idoralari, banklar va telekommunikatsiya kompaniyalari tarmoqlari hisoblanadi. Server buzilganidan so'ng, unda Monero kriptovalyutasini qazib olish jarayoni tashkil etiladi. Ko'rib chiqilayotgan zararli dasturning faoliyati 2020 yil yanvar oyidan beri kuzatilmoqda.
FritzFrog-ning o'ziga xos tomoni shundaki, u barcha ma'lumotlarni va bajariladigan kodni faqat xotirada saqlaydi. Diskdagi o'zgarishlar faqat avtorizatsiyalangan_keys fayliga yangi SSH kalitini qo'shishdan iborat bo'lib, keyinchalik u serverga kirish uchun ishlatiladi. Tizim fayllari o'zgartirilmaydi, bu qurtni nazorat summalari yordamida yaxlitlikni tekshiradigan tizimlar uchun ko'rinmas qiladi. Xotira shuningdek, P2P protokoli yordamida tugunlar o'rtasida sinxronlashtiriladigan shafqatsiz parollar va qazib olish uchun ma'lumotlar uchun lug'atlarni saqlaydi.
Zararli komponentlar ifconfig, libexec, php-fpm va nginx jarayonlari sifatida kamuflyajlanadi. Botnet tugunlari qo'shnilarining holatini kuzatib boradi va agar server qayta ishga tushirilsa yoki hatto OT qayta o'rnatilsa (agar o'zgartirilgan avtorizatsiyalangan_kalitlar fayli yangi tizimga o'tkazilgan bo'lsa), ular xostdagi zararli komponentlarni qayta faollashtiradi. Aloqa uchun standart SSH ishlatiladi - zararli dastur qo'shimcha ravishda localhost interfeysi bilan bog'langan va tashqi xostlar SSH tunneli orqali kirish uchun avtorizatsiya_kalitlari kalitidan foydalangan holda 1234-portdagi trafikni tinglaydigan mahalliy "netcat" ni ishga tushiradi.
FritzFrog komponent kodi Go da yozilgan va ko'p tarmoqli rejimda ishlaydi. Zararli dastur turli oqimlarda ishlaydigan bir nechta modullarni o'z ichiga oladi:
- Cracker - hujum qilingan serverlarda parollarni qidiradi.
- CryptoComm + Parser - shifrlangan P2P ulanishini tashkil qiladi.
- CastVotes - bu hujum uchun maqsadli xostlarni birgalikda tanlash mexanizmi.
- TargetFeed - qo'shni tugunlardan hujum qilish uchun tugunlar ro'yxatini oladi.
- DeployMgmt - bu buzilgan serverga zararli kodni tarqatuvchi qurtning amalga oshirilishi.
- Egalik - allaqachon zararli kod ishlayotgan serverlarga ulanish uchun javobgardir.
- Assemble - alohida uzatilgan bloklardan faylni xotirada yig'adi.
- Antivir - raqobatdosh zararli dasturlarni bostirish moduli, protsessor resurslarini iste'mol qiladigan "xmr" qatori bilan jarayonlarni aniqlaydi va tugatadi.
- Libexec - bu Monero kripto valyutasini qazib olish uchun modul.
FritzFrog-da qo'llaniladigan P2P protokoli tugunlar o'rtasida ma'lumotlarni uzatish, skriptlarni ishga tushirish, zararli dastur komponentlarini uzatish, so'rov holati, jurnallarni almashish, proksi-serverlarni ishga tushirish va hokazolar uchun mas'ul bo'lgan 30 ga yaqin buyruqlarni qo'llab-quvvatlaydi. Axborot JSON formatida ketma-ketlashtirish bilan alohida shifrlangan kanal orqali uzatiladi. Shifrlash assimetrik AES shifridan va Base64 kodlashidan foydalanadi. DH protokoli kalit almashinuvi uchun ishlatiladi (). Holatni aniqlash uchun tugunlar doimiy ravishda ping so'rovlarini almashadilar.
Barcha botnet tugunlari hujumga uchragan va buzilgan tizimlar haqida ma'lumotga ega bo'lgan taqsimlangan ma'lumotlar bazasini saqlaydi. Hujum maqsadlari botnet bo'ylab sinxronlashtiriladi - har bir tugun alohida nishonga hujum qiladi, ya'ni. ikki xil botnet tugunlari bir xil xostga hujum qilmaydi. Tugunlar, shuningdek, bo'sh xotira hajmi, ish vaqti, CPU yuki va SSH kirish faoliyati kabi mahalliy statistikani to'playdi va qo'shnilarga uzatadi. Ushbu ma'lumotlar kon jarayonini boshlash yoki tugunni faqat boshqa tizimlarga hujum qilish uchun ishlatish haqida qaror qabul qilish uchun ishlatiladi (masalan, kon yuklangan tizimlarda yoki tez-tez administrator ulanishlari bo'lgan tizimlarda boshlanmaydi).
FritzFrogni aniqlash uchun tadqiqotchilar oddiy usulni taklif qilishdi . Tizimning shikastlanishini aniqlash uchun
1234-portda tinglash ulanishining mavjudligi, mavjudligi kabi belgilar avtorizatsiyalangan kalitlarda (barcha tugunlarda bir xil SSH kaliti o'rnatilgan) va bajariladigan fayllarga ega bo'lmagan ifconfig, "libexec", "php-fpm" va "nginx" ishlayotgan jarayonlarning xotirasida mavjudligi ("/proc/" /exe" uzoq faylga ishora qiladi). Belgisi, shuningdek, Monero kriptovalyutasini qazib olish jarayonida zararli dastur web.xmrpool.eu tipik hovuziga kirganida yuzaga keladigan 5555-tarmoq portida trafik mavjudligi bo'lishi mumkin.
Manba: opennet.ru