Guardicore (компания по обеспечению безопасности облачных вычислений и центров обработки данных) обнаружил новое вредоносное ПО хай-тек, называемый «FritzFrog», поражающий серверы на базе Linux. FritzFrog объединяет червяка, который распространяться с помощью грубой силы на серверах с открытым портом SSH и компоненты построить децентрализованный ботнет Он работает без узлов управления и не имеет единой точки отказа.
По данным следствия, ботнет уже насчитывает около 500 узлов, включая серверы нескольких университетов и крупной железнодорожной компании. Особенность FritzFrog в том, что он хранит все данные и исполняемый код только в памяти.
Изменения на диске сводятся к простому добавлению нового ключа SSH в файл Authorized_keys, который затем используется для доступа к серверу.
Системные файлы остаются неизменными, что делает червя невидимым для систем, которые проверяют целостность контрольной суммы. В памяти также находятся словари для паролей методом перебора и данных для майнинга, которые синхронизируются между узлами с использованием протокола P2P.
Вредоносные компоненты маскируются под процессы ifconfig, libexec, php-fpm и nginx.
Узлы ботнета следят за состоянием своих соседей, и в случае перезапуска сервера или даже переустановки операционной системы (если измененный файл authorized_keys был перенесен в новую систему) они повторно активируют вредоносные компоненты на хосте.
Для связи используется обычный SSH: Вредоносная программа также запускает локальную "netcat", которая присоединяется к интерфейсу localhost и прослушивает трафик на порту 1234, к которым внешние узлы получают доступ через туннель SSH, используя для подключения ключ allowed_keys.
Вредоносное ПО включает несколько модулей, которые работают в разных потоках:
- Крекер- Используйте сырые пароли на атакованных серверах.
- CryptoComm + Парсер- Организуйте зашифрованное P2P-соединение.
- Голоса: это механизм совместного выбора целевых хостов для атаки.
- Целевая лента: получить список узлов для атаки с соседних узлов.
- Управление развертыванием: это реализация червя, распространяющего вредоносный код на взломанный сервер.
- Принадлежащий- Он отвечает за подключение к серверам, на которых уже запущен вредоносный код.
- Сборка- Собрать файл в памяти из отдельно переданных блоков.
- AntiVir- Модуль для подавления вредоносных программ конкурентов, обнаруживает и уничтожает процессы со строкой «xmr», которые потребляют ресурсы ЦП.
- Либексек: это модуль для майнинга криптовалюты Monero.
Протокол P2P, используемый в FritzFrog, поддерживает около 30 команд. отвечает за передачу данных между узлами, запуск сценариев, передачу компонентов вредоносного ПО, статус опроса, обмен журналами, запуск прокси и т. д.
Информация передается по зашифрованному каналу автономный с сериализацией в формате JSON. Для шифрования используется асимметричное шифрование AES и кодирование Base64. Для обмена ключами используется протокол DH (Diffie-Hellman). Чтобы определить состояние, узлы постоянно обмениваются запросами ping.
Все узлы ботнета поддерживают распределенную базу данных с информацией об атакованных и скомпрометированных системах.
Цели атаки синхронизированы по всему ботнету- Каждый узел атакует отдельную цель, то есть два разных узла ботнета не будут атаковать один и тот же узел.
узлы они также собирают и передают соседям локальную статистику, такие как объем свободной памяти, время безотказной работы, загрузка ЦП и активность входа по SSH.
Эта информация используется, чтобы решить, начинать ли процесс майнинга или использовать узел только для атаки на другие системы (Например, майнинг не запускается на загруженных системах или системах с частыми подключениями администратора).
Исследователи предложили простой сценарий оболочки для идентификации FritzFrog.
Чтобы определить, повреждена ли система, такие признаки, как наличие прослушивающего соединения на порту 1234, наличие вредоносного ключа в авторизованных ключах (один и тот же ключ SSH установлен на всех узлах) и наличие процессов в процессе «ifconfig», «libexec», «php-fpm» в памяти и «nginx», которые не имеют связанных исполняемых файлов («/ proc / / exe », указывающий на удаленный файл).
Сигналом также может служить наличие трафика на сетевом порту 5555, который возникает, когда вредоносная программа обращается к типичному пулу web.xmrpool.eu во время майнинга криптовалюты Monero.