瓜迪科 (雲和數據中心安全公司) 發現了新的惡意軟件 高科技,稱為 “ FritzFrog”,它影響基於Linux的服務器。 FritzFrog結合了一種蠕蟲 通過蠻力攻擊傳播 在具有開放SSH端口的服務器上 和組件 建立一個分散的殭屍網絡 它可以在沒有控制節點的情況下工作,並且沒有單點故障。
據研究人員說, 殭屍網絡已經有大約500個節點,包括來自幾所大學和一家大型鐵路公司的服務器。 FritzFrog的獨特之處在於它僅將所有數據和可執行代碼保留在內存中。
對磁盤的更改歸結為只是將新的SSH密鑰添加到Authorized_keys文件中,然後該文件用於訪問服務器。
系統文件保持不變,從而使蠕蟲對於驗證校驗和完整性的系統不可見。 存儲器還包含用於暴力破解密碼的字典和用於挖掘的數據,這些字典使用P2P協議在節點之間同步。
惡意組件被偽裝在“ ifconfig”,“ libexec”,“ php-fpm”和“ nginx”進程下。
殭屍網絡節點監視其鄰居的運行狀況,並且在服務器重新啟動或什至重新安裝操作系統(如果已將修改後的authorized_keys文件已轉移到新系統)的情況下,它們會重新激活主機上的惡意組件。
為了進行通信,使用常規SSH:惡意軟件還會啟動本地的“ netcat” 加入本地主機接口並在端口1234上偵聽流量,使用allowed_keys密鑰通過SSH隧道訪問的外部節點。
惡意軟件 包括在不同線程上運行的幾個模塊:
- 餅乾-在受攻擊的服務器上使用原始密碼。
- CryptoComm +解析器-組織加密的P2P連接。
- CastVotes: 它是聯合選擇目標主機進行攻擊的一種機制。
- 目標飼料:獲取要從相鄰節點攻擊的節點列表。
- DeployMgmt: 它是蠕蟲的一種實現,它將惡意代碼傳播到受感染的服務器。
- 擁有-它負責連接到已經在運行惡意代碼的服務器。
- 集合-從單獨傳輸的塊中將文件彙編到內存中。
- 的AntiVir-抑制競爭對手惡意軟件的模塊,使用字符串“ xmr”檢測並殺死消耗CPU資源的進程。
- Libexec: 是用於挖掘Monero加密貨幣的模塊。
FritzFrog中使用的P2P協議支持大約30條命令 負責在節點之間傳輸數據,啟動腳本,傳輸惡意軟件組件,輪詢狀態,交換日誌,啟動代理等。
信息通過加密通道傳輸 獨立,並以JSON格式進行序列化。 對於加密,使用AES非對稱加密和Base64編碼。 DH(Diffie-Hellman)協議用於密鑰交換。 為了確定狀態,節點不斷交換ping請求。
所有殭屍網絡節點都維護一個分佈式數據庫 包含有關受攻擊和受感染系統的信息。
攻擊目標在整個殭屍網絡中同步-每個節點攻擊一個單獨的目標,即兩個不同的殭屍網絡節點將不會攻擊同一主機。
節點數 他們還收集本地統計數據並將其傳輸給鄰居, 例如可用內存大小,正常運行時間,CPU負載和SSH登錄活動。
這個信息 用於決定是開始挖掘過程還是僅使用節點攻擊其他系統 (例如,挖掘不會在已加載的系統或具有頻繁管理員連接的系統上開始)。
研究人員 已經提出了一個簡單的shell腳本來識別FritzFrog。
要確定係統是否已損壞,請採取以下跡象:端口1234上存在偵聽連接,授權密鑰中是否存在惡意密鑰(所有節點上都安裝了相同的SSH密鑰)以及執行中的進程是否存在內存中的“ ifconfig”,“ libexec”,“ php-fpm”和“ nginx”沒有關聯的可執行文件(“ / proc / / exe»指向遠程文件)。
當惡意軟件在挖掘Monero加密貨幣時訪問典型的web.xmrpool.eu池時,會在網絡端口5555上出現流量,這也可以作為信號。