FritzFrog un ver qui infecte les serveurs via SSH et crée un botnet décentralisé

Darkcrizt

Minutes 4

Guardicore (une entreprise de sécurité dans le cloud et les centres de données) a identifié un nouveau malware high-tech, appelé "FritzFrog", qui affecte les serveurs basés sur Linux.  FritzFrog combine un ver qui est se propager par une attaque par force brute sur les serveurs avec un port SSH ouvert et composants pour construire un botnet décentralisé Il fonctionne sans nœuds de contrôle et n'a pas de point de défaillance unique.

Selon les enquêteurs, le botnet compte déjà environ 500 nœuds, y compris des serveurs de plusieurs universités et d'une grande entreprise ferroviaire. La particularité de FritzFrog est qu'il ne conserve toutes les données et le code exécutable qu'en mémoire.

Les modifications apportées au disque se résument à l'ajout d'une nouvelle clé SSH au fichier Authorized_keys, qui est ensuite utilisée pour accéder au serveur.

Les fichiers système restent inchangés, rendant le ver invisible aux systèmes qui vérifient l'intégrité de la somme de contrôle. La mémoire contient également des dictionnaires pour les mots de passe de force brute et les données pour l'extraction, qui sont synchronisés entre les nœuds à l'aide du protocole P2P.

Les composants malveillants sont camouflés sous les processus "ifconfig", "libexec", "php-fpm" et "nginx".

Les nœuds de botnet surveillent la santé de leurs voisins, et en cas de redémarrage du serveur ou même de réinstallation du système d'exploitation (si le fichier autorisé_keys modifié a été transféré vers le nouveau système), ils réactivent les composants malveillants sur l'hôte.

Pour la communication, SSH régulier est utilisé: le malware lance également un "netcat" local qui rejoint l'interface localhost et écoute le trafic sur le port 1234, auxquels les nœuds externes accèdent via un tunnel SSH, en utilisant la clé allowed_keys pour se connecter.

Malware comprend plusieurs modules qui s'exécutent sur différents threads:

  • Craquelin- Utilisez des mots de passe bruts sur les serveurs attaqués.
  • CryptoComm + analyseur- Organisez une connexion P2P cryptée.
  • Votes exprimés : c'est un mécanisme de sélection conjointe des hôtes cibles pour une attaque.
  • Flux cible: obtenir une liste des nœuds à attaquer à partir des nœuds voisins.
  • DeployMgmt : il s'agit d'une implémentation d'un ver qui propage un code malveillant sur un serveur compromis.
  • Détenue- Il est responsable de la connexion aux serveurs qui exécutent déjà du code malveillant.
  • Assembler- Assemblez un fichier en mémoire à partir de blocs transférés séparément.
  • antivir- Un module pour supprimer les logiciels malveillants concurrents, détecte et tue les processus avec la chaîne "xmr" qui consomment des ressources CPU.
  • Libexec : est un module pour l'extraction des crypto-monnaies Monero.

Le protocole P2P utilisé dans FritzFrog prend en charge environ 30 commandes responsable du transfert des données entre les nœuds, du démarrage des scripts, du transfert des composants malveillants, de la scrutation de l'état, de l'échange de journaux, du démarrage d'un proxy, etc.

Les informations sont transmises via un canal crypté autonome avec sérialisation au format JSON. Pour le chiffrement, le chiffrement asymétrique AES et le codage Base64 sont utilisés. Le protocole DH (Diffie-Hellman) est utilisé pour l'échange de clés. Pour déterminer l'état, les nœuds échangent constamment des requêtes ping.

Tous les nœuds de botnet maintiennent une base de données distribuée avec des informations sur les systèmes attaqués et compromis.

Les cibles d'attaque sont synchronisées sur l'ensemble du botnet- Chaque nœud attaque une cible distincte, c'est-à-dire que deux nœuds de botnet différents n'attaqueront pas le même hôte.

Noeuds ils collectent et transmettent également des statistiques locales aux voisins, comme la taille de la mémoire libre, la disponibilité, la charge du processeur et l'activité de connexion SSH.

Cette information utilisé pour décider de démarrer le processus de minage ou d'utiliser un nœud uniquement pour attaquer d'autres systèmes (Par exemple, l'extraction ne démarre pas sur des systèmes chargés ou des systèmes avec des connexions administrateur fréquentes).

Los Investigadores ont proposé un script shell simple pour identifier FritzFrog.

Pour déterminer si le système est endommagé, des signes tels que la présence d'une connexion d'écoute sur le port 1234, la présence d'une clé malveillante dans les clés autorisées (la même clé SSH est installée sur tous les nœuds), et la présence de processus en cours d'exécution "ifconfig", "libexec", "php-fpm" en mémoire et "nginx" qui n'ont pas d'exécutables associés ("/ proc / / exe »pointant vers un fichier distant).

La présence de trafic sur le port réseau 5555, qui se produit lorsque des logiciels malveillants accèdent à un pool web.xmrpool.eu typique tout en exploitant la crypto-monnaie Monero, peut également servir de signal.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.