Vartija (pilvi- ja palvelinkeskusyritys) on tunnistanut uuden haittaohjelman korkean teknologian, kutsutaan "FritzFrog", joka vaikuttaa Linux-pohjaisiin palvelimiin. FritzFrog yhdistää maton, joka on levitä raakavoimien hyökkäyksen kautta palvelimilla, joilla on avoin SSH-portti ja komponentit rakentaa hajautettu botnet Se toimii ilman ohjaussolmuja eikä siinä ole yhtä vikapistettä.
Tutkijoiden mukaan botnetissa on jo noin 500 solmua, mukaan lukien palvelimet useista yliopistoista ja suurelta rautatieyritykseltä. FritzFrogin erikoisuus on, että se pitää kaikki tiedot ja suoritettavan koodin vain muistissa.
Levylle tehdyt muutokset jäävät vain uuden SSH-avaimen lisäämiseksi Authorized_keys-tiedostoon, jota sitten käytetään palvelimen käyttämiseen.
Järjestelmätiedostot pysyvät muuttumattomina, jolloin mato on näkymätön järjestelmille, jotka tarkistavat tarkistussumman eheyden. Muisti sisältää myös sanakirjoja raa'an voiman salasanoille ja kaivosdataa varten, jotka synkronoidaan solmujen välillä P2P-protokollaa käyttäen.
Haitalliset komponentit naamioidaan "ifconfig" -, "libexec" -, "php-fpm" - ja "nginx" -prosesseissa.
Botnet-solmut seuraavat naapureidensa terveyttä ja palvelimen uudelleenkäynnistyksen tai jopa käyttöjärjestelmän uudelleenasennuksen yhteydessä (jos muokattu autorisoitujen avaintiedostojen tiedosto on siirretty uuteen järjestelmään), ne aktivoivat isännän haitalliset komponentit uudelleen.
Viestinnässä käytetään tavallista SSH: ta: Haittaohjelma käynnistää myös paikallisen "netcat" liittyy localhost-rajapintaan ja kuuntelee liikennettä portissa 1234, johon ulkoiset solmut pääsevät SSH-tunnelin kautta, muodosta yhteys sallittujen avainten avaimen avulla.
haittaohjelmat sisältää useita moduuleja, jotka toimivat eri säikeillä:
- voileipäkeksi- Käytä raakoja salasanoja hyökätyillä palvelimilla.
- CryptoComm + jäsennin- Järjestä salattu P2P-yhteys.
- Näyttelijät: se on mekanismi kohde-isäntien yhteiseen valintaan hyökkäystä varten.
- TargetFeed: hae luettelo solmuista hyökätäksesi naapurisolmuista.
- Ota käyttöön Mgmt: se on mato, joka levittää haitallista koodia vaarantuneelle palvelimelle.
- Omisti- Se on vastuussa yhteyden muodostamisesta palvelimiin, joissa jo on haitallista koodia.
- Koota- Kokoa tiedosto muistiin erikseen siirretyistä lohkoista.
- Antivir- Moduuli kilpailijoiden haittaohjelmien torjumiseksi, havaitsee ja tappaa prosessorit merkkijonolla "xmr", joka kuluttaa suorittimen resursseja.
- Libexec: on moduuli Moneron kryptovaluuttojen louhintaan.
FritzFrogissa käytetty P2P-protokolla tukee noin 30 komentoa vastuussa tietojen siirtämisestä solmujen välillä, komentosarjojen käynnistämisestä, haittaohjelmakomponenttien siirtämisestä, kyselyn tilasta, lokien vaihdosta, välityspalvelimen käynnistämisestä jne.
Tiedot välitetään salatun kanavan kautta itsenäinen sarjakuvalla JSON-muodossa. Salaukseen käytetään AES: n epäsymmetristä salausta ja Base64-koodausta. DH (Diffie-Hellman) -protokollaa käytetään avainten vaihtoon. Tilan määrittämiseksi solmut vaihtavat jatkuvasti ping-pyyntöjä.
Kaikki botnet-solmut ylläpitävät hajautettua tietokantaa tietoja hyökkäyksistä ja vaarantuneista järjestelmistä.
Hyökkäyskohteet synkronoidaan koko botnetissä- Jokainen solmu hyökkää erilliseen kohteeseen, toisin sanoen kaksi erilaista botnet-solmua ei hyökkää samaan isäntään.
solmut he myös keräävät ja välittävät paikallisia tilastoja naapureille, kuten vapaan muistin koko, käyttöaika, suorittimen kuorma ja SSH-kirjautumistoiminta.
Tämä informaatio käytetään päättämään, aloitetaanko kaivosprosessi vai käytetäänkö solmua vain muiden järjestelmien hyökkäykseen (Esimerkiksi kaivostoiminta ei käynnisty ladatuissa järjestelmissä tai järjestelmissä, joissa on usein järjestelmänvalvojan yhteyksiä).
Tutkijat ovat ehdottaneet yksinkertaista komentotiedostoa FritzFrogin tunnistamiseksi.
Järjestelmän vaurioitumisen selvittämiseksi merkkejä, kuten kuunteluyhteyden läsnäolo portissa 1234, haitallisen avaimen esiintyminen valtuutetuissa avaimissa (sama SSH-avain on asennettu kaikkiin solmuihin) ja prosessien esiintyminen suorituksessa "ifconfig", "libexec", "php-fpm" muistissa ja "nginx", joihin ei ole liitetty suoritettavia tiedostoja ("/ proc / / exe »osoittaa etätiedostoon).
Liikenne läsnä verkkoportissa 5555, joka tapahtuu, kun haittaohjelma pääsee tyypilliseen web.xmrpool.eu-pooliin kaivettaessa Moneron kryptovaluutta, voi myös toimia signaalina.