Ile-iṣẹ Guardicore, amọja ni aabo ti awọn ile-iṣẹ data ati awọn eto awọsanma, FritzFrog, malware tuntun ti imọ-ẹrọ giga ti o kọlu awọn olupin orisun Linux. FritzFrog daapọ alajerun kan ti o tan kaakiri nipasẹ ikọlu ikọlu lori awọn olupin pẹlu ibudo SSH ti o ṣii, ati awọn paati lati kọ botnet ti a ti sọtọ ti o ṣiṣẹ laisi awọn apa iṣakoso ati pe ko ni aaye ikuna kan.
Lati kọ botnet kan, ilana ilana P2P ti ara ẹni ni a lo, ninu eyiti awọn apa ti n ṣepọ pẹlu ara wọn, ipoidojuko ajo ti awọn ikọlu, ṣe atilẹyin iṣẹ ti nẹtiwọọki ati ṣetọju ipo kọọkan miiran. Awọn olufaragba tuntun ni a rii nipasẹ gbigbe ikọlu ikọlu lori olupin ti o gba awọn ibeere nipasẹ SSH. Nigbati olupin tuntun ba ti rii, iwe-itumọ ti awọn akojọpọ aṣoju ti awọn wiwọle ati awọn ọrọ igbaniwọle jẹ wiwa. Iṣakoso le ṣee ṣe nipasẹ eyikeyi ipade, eyiti o jẹ ki o ṣoro lati ṣe idanimọ ati dènà awọn oniṣẹ botnet.
Gẹgẹbi awọn oniwadi, botnet ti ni awọn apa 500 tẹlẹ, pẹlu awọn olupin ti awọn ile-ẹkọ giga pupọ ati ile-iṣẹ ọkọ oju-irin nla kan. O ṣe akiyesi pe awọn ibi-afẹde akọkọ ti ikọlu jẹ awọn nẹtiwọọki ti awọn ile-ẹkọ ẹkọ, awọn ile-iṣẹ iṣoogun, awọn ile-iṣẹ ijọba, awọn banki ati awọn ile-iṣẹ ibaraẹnisọrọ. Lẹhin ti olupin naa ti ni ipalara, ilana ti iwakusa Monero cryptocurrency ti ṣeto lori rẹ. Iṣẹ ṣiṣe ti malware ni ibeere ti wa ni itopase lati Oṣu Kini ọdun 2020.
Ohun pataki nipa FritzFrog ni pe o tọju gbogbo data ati koodu ṣiṣe nikan ni iranti. Awọn iyipada lori disiki ni nikan ti fifi bọtini SSH tuntun kun si faili aṣẹ_keys, eyiti o jẹ lilo nigbamii lati wọle si olupin naa. Awọn faili eto ko ni iyipada, eyiti o jẹ ki alajerun jẹ alaihan si awọn eto ti o ṣayẹwo iduroṣinṣin nipa lilo awọn ayẹwo. Iranti naa tun tọju awọn iwe-itumọ fun awọn ọrọ igbaniwọle fipa-fipa ati data fun iwakusa, eyiti o jẹ mimuuṣiṣẹpọ laarin awọn apa nipa lilo ilana P2P.
Awọn paati irira jẹ camouflaged bi ifconfig, libexec, php-fpm ati awọn ilana nginx. Awọn apa Botnet ṣe atẹle ipo ti awọn aladugbo wọn ati, ti olupin ba tun atunbere tabi paapaa OS ti tun fi sii (ti o ba ti gbe faili aṣẹ_keys ti a yipada si eto tuntun), wọn tun mu awọn paati irira ṣiṣẹ lori agbalejo naa. Fun ibaraẹnisọrọ, SSH boṣewa jẹ lilo - malware tun ṣe ifilọlẹ “netcat” agbegbe kan ti o sopọ mọ wiwo localhost ati tẹtisi ijabọ lori ibudo 1234, eyiti awọn ogun ita n wọle nipasẹ eefin SSH, ni lilo bọtini kan lati awọn bọtini aṣẹ-aṣẹ lati sopọ.
Koodu paati FritzFrog jẹ kikọ ni Go ati ṣiṣe ni ipo asapo pupọ. malware naa pẹlu awọn modulu pupọ ti o nṣiṣẹ ni oriṣiriṣi awọn okun:
- Cracker - n wa awọn ọrọ igbaniwọle lori awọn olupin ti o kọlu.
- CryptoComm + Parser - ṣeto asopọ P2P ti paroko.
- CastVotes jẹ ẹrọ kan fun yiyan apapọ awọn agbalejo ibi-afẹde fun ikọlu.
- TargetFeed - Ngba atokọ ti awọn apa lati kọlu lati awọn apa adugbo.
- DeployMgmt jẹ imuse ti kokoro kan ti o pin koodu irira si olupin ti o gbogun.
- Ti o ni - lodidi fun sisopọ si awọn olupin ti o nṣiṣẹ koodu irira tẹlẹ.
- Pejọ - ṣe akojọpọ faili kan sinu iranti lati awọn bulọọki gbigbe lọtọ.
- Antivir – module kan fun didapa malware dije, ṣe idanimọ ati fopin si awọn ilana pẹlu okun “xmr” ti o jẹ awọn orisun Sipiyu.
- Libexec jẹ module fun iwakusa Monero cryptocurrency.
Ilana P2P ti a lo ninu FritzFrog ṣe atilẹyin nipa awọn aṣẹ 30 ti o ni iduro fun gbigbe data laarin awọn apa, awọn iwe afọwọkọ ti nṣiṣẹ, gbigbe awọn paati malware, ipo ibo, paarọ awọn akọọlẹ, ifilọlẹ awọn aṣoju, ati bẹbẹ lọ. Alaye ti wa ni tan kaakiri lori ikanni fifi ẹnọ kọ nkan lọtọ pẹlu serialization ni ọna kika JSON. Ìsekóòdù nlo asymmetric AES cipher ati Base64 fifi koodu. Ilana DH jẹ lilo fun paṣipaarọ bọtini (). Lati pinnu ipinle, awọn apa nigbagbogbo ṣe paṣipaarọ awọn ibeere ping.
Gbogbo awọn apa botnet n ṣetọju ibi ipamọ data ti a pin pẹlu alaye nipa awọn eto ikọlu ati awọn ilana ti o gbogun. Awọn ibi-afẹde ikọlu ti muuṣiṣẹpọ jakejado botnet - ipade kọọkan kọlu ibi-afẹde lọtọ, i.e. meji ti o yatọ botnet apa yoo ko kolu kanna ogun. Awọn apa tun gba ati tan kaakiri awọn iṣiro agbegbe si awọn aladugbo, gẹgẹbi iwọn iranti ọfẹ, akoko akoko, fifuye Sipiyu, ati iṣẹ iwọle SSH. Alaye yii ni a lo lati pinnu boya lati bẹrẹ ilana iwakusa tabi lo ipade nikan lati kọlu awọn eto miiran (fun apẹẹrẹ, iwakusa ko bẹrẹ lori awọn ọna ṣiṣe ti kojọpọ tabi awọn eto pẹlu awọn asopọ alabojuto loorekoore).
Lati ṣe idanimọ FritzFrog, awọn oniwadi ti dabaa irọrun kan . Lati pinnu bibajẹ eto
awọn ami bii wiwa asopọ igbọran lori ibudo 1234, wiwa ni aṣẹ_keys (bọtini SSH kanna ti fi sori ẹrọ lori gbogbo awọn apa) ati wiwa ni iranti ti awọn ilana ṣiṣe “ifconfig”, “libexec”, “php-fpm” ati “nginx” ti ko ni awọn faili ti o ni nkan ṣe (“/ proc/ / exe" tọka si faili latọna jijin). Ami kan tun le jẹ wiwa ijabọ lori ibudo nẹtiwọki 5555, eyiti o waye nigbati malware ba wọle si adagun-odo aṣoju web.xmrpool.eu lakoko iwakusa ti Monero cryptocurrency.
orisun: opennet.ru