Guardicore公司,專門從事資料中心和雲端系統的保護, FritzFrog,一種新型高科技惡意軟體,可攻擊基於 Linux 的伺服器。 FritzFrog 將透過對具有開放 SSH 連接埠的伺服器進行暴力攻擊進行傳播的蠕蟲與元件結合,建立一個去中心化的殭屍網絡,該網路在沒有控制節點的情況下運行,並且沒有單點故障。
為了建構殭屍網絡,需要使用專有的 P2P 協議,其中節點之間進行交互,協調攻擊組織,支援網路的運作並監視彼此的狀態。 透過對透過 SSH 接受請求的伺服器進行暴力攻擊,發現了新的受害者。 當偵測到新伺服器時,將搜尋登入名稱和密碼的典型組合的字典。 可以透過任何節點進行控制,這使得殭屍網路操作者難以識別和封鎖。
據研究人員稱,該殭屍網路已經擁有約500個節點,其中包括幾所大學和一家大型鐵路公司的伺服器。 值得注意的是,攻擊的主要目標是教育機構、醫療中心、政府機構、銀行和電信公司的網路。 伺服器被入侵後,挖掘門羅幣加密貨幣的過程就在其上組織。 自 2020 年 XNUMX 月以來,我們就追蹤了相關惡意軟體的活動。
FritzFrog 的特別之處在於它將所有資料和可執行程式碼僅保存在記憶體中。 磁碟上的變更僅包括將新的 SSH 金鑰新增至authorized_keys 檔案中,該檔案隨後用於存取伺服器。 系統檔案不會更改,這使得蠕蟲對於使用校驗和檢查完整性的系統來說是不可見的。 記憶體還儲存用於暴力破解密碼的字典和用於挖掘的數據,這些字典使用P2P協定在節點之間同步。
惡意元件偽裝成 ifconfig、libexec、php-fpm 和 nginx 進程。 殭屍網路節點監視其鄰居的狀態,如果伺服器重新啟動,甚至重新安裝作業系統(如果修改後的authorized_keys檔案被傳輸到新系統),它們會重新啟動主機上的惡意元件。 為了進行通信,使用標準SSH - 惡意軟體還啟動一個本地“netcat”,該“netcat”綁定到本地主機接口並監聽端口1234 上的流量,外部主機通過SSH 隧道訪問該端口,並使用authorized_keys 中的密鑰進行連線。
FritzFrog元件程式碼是用Go編寫的,以多執行緒模式運行。 該惡意軟體包含多個在不同執行緒中執行的模組:
- Cracker - 在受攻擊的伺服器上搜尋密碼。
- CryptoComm + Parser - 組織加密的 P2P 連線。
- CastVotes是一種共同選擇目標主機進行攻擊的機制。
- TargetFeed - 從相鄰節點接收要攻擊的節點清單。
- DeployMgmt 是一種蠕蟲病毒的實現,它將惡意程式碼分發到受感染的伺服器。
- 擁有 - 負責連接到已經運行惡意程式碼的伺服器。
- 組裝 - 將單獨傳輸的區塊組裝到記憶體中的檔案。
- Antivir - 用於抑制競爭惡意軟體的模組,識別並終止帶有字串「xmr」的消耗 CPU 資源的進程。
- Libexec 是用來挖礦 Monero 加密貨幣的模組。
FritzFrog 使用的 P2P 協定支援約 30 個指令,負責在節點之間傳輸資料、執行腳本、傳輸惡意軟體元件、輪詢狀態、交換日誌、啟動代理程式等。 資訊透過單獨的加密通道傳輸,並以 JSON 格式進行序列化。 加密使用非對稱 AES 密碼和 Base64 編碼。 DH協定用於金鑰交換()。 為了確定狀態,節點不斷交換 ping 請求。
所有殭屍網路節點都維護一個分散式資料庫,其中包含有關受攻擊和受損系統的資訊。 攻擊目標在整個殭屍網路中是同步的 - 每個節點攻擊一個單獨的目標,即兩個不同的殭屍網路節點不會攻擊同一台主機。 節點還收集本地統計資料並將其傳輸給鄰居,例如可用記憶體大小、正常運行時間、CPU 負載和 SSH 登入活動。 此資訊用於決定是否啟動挖掘程序或僅使用該節點來攻擊其他系統(例如,挖掘不會在已載入的系統或管理員連接頻繁的系統上啟動)。
為了識別 FritzFrog,研究人員提出了一個簡單的方法 。 確定係統損壞
跡象,例如在連接埠 1234 上存在偵聽連接、存在 在authorized_keys中(相同的SSH金鑰安裝在所有節點上)以及記憶體中存在正在運行的進程“ifconfig”、“libexec”、“php-fpm”和“nginx”,這些進程沒有關聯的可執行檔( “/proc/ /exe”指向遠端檔案)。 網路連接埠 5555 上存在流量也可能是一個跡象,當惡意軟體在門羅幣加密貨幣挖礦期間訪問典型的礦池 web.xmrpool.eu 時就會出現這種情況。
來源: opennet.ru