Strážca (cloudová a dátová bezpečnostná spoločnosť) identifikoval nový malware high-tech, tzv „FritzFrog“, ktorý ovplyvňuje servery založené na systéme Linux. FritzFrog kombinuje červ, ktorý je sa šíri útokom hrubou silou na serveroch s otvoreným portom SSH a komponenty vybudovať decentralizovaný botnet Funguje bez riadiacich uzlov a nemá jediný bod zlyhania.
Podľa vyšetrovateľov, botnet už má okolo 500 uzlov, vrátane serverov z niekoľkých univerzít a veľkej železničnej spoločnosti. Zvláštnosťou FritzFrog je, že uchováva všetky údaje a spustiteľný kód iba v pamäti.
Zmeny disku sa zmenšili na iba pridanie nového kľúča SSH do súboru Authorized_keys, ktorý sa potom použije na prístup na server.
Systémové súbory zostávajú nezmenené, čo robí červ neviditeľným pre systémy, ktoré overujú integritu kontrolného súčtu. Pamäť obsahuje aj slovníky hesiel hrubou silou a údaje pre ťažbu, ktoré sa synchronizujú medzi uzlami pomocou protokolu P2P.
Škodlivé komponenty sú maskované v rámci procesov „ifconfig“, „libexec“, „php-fpm“ a „nginx“.
Uzly Botnet monitorujú zdravie svojich susedov a v prípade reštartu servera alebo dokonca preinštalovania operačného systému (ak bol upravený súbor authorized_keys prenesený do nového systému) znova aktivujú škodlivé komponenty na hostiteľovi.
Na komunikáciu sa používa bežné SSH: Malvér tiež spúšťa lokálny „netcat“, ktorý pripojí sa k rozhraniu localhost a počúva prenos na porte 1234, ku ktorým externé uzly pristupujú cez tunel SSH pomocou kľúča allow_keys na pripojenie.
malware obsahuje niekoľko modulov, ktoré fungujú na rôznych vláknach:
- sušienka- Používajte surové heslá na napadnutých serveroch.
- Analyzátor CryptoComm +- Usporiadajte šifrované pripojenie P2P.
- Hlasovanie: je to mechanizmus spoločného výberu cieľových hostiteľov pre útok.
- TargetFeed: získa zoznam uzlov, ktoré majú zaútočiť zo susedných uzlov.
- DeployMgmt: je to implementácia červa, ktorý šíri škodlivý kód na napadnutý server.
- Owned- Je zodpovedný za pripojenie k serverom, na ktorých je už spustený škodlivý kód.
- zostaviť- Zostavte súbor v pamäti zo samostatne prenesených blokov.
- antivír- Modul na potlačenie škodlivého softvéru konkurencie, detekuje a zabíja procesy pomocou reťazca „xmr“, ktorý spotrebúva zdroje procesora.
- Libexec: je modul na ťažbu kryptomien Monero.
Protokol P2P používaný vo FritzFrog podporuje okolo 30 príkazov zodpovedný za prenos dát medzi uzlami, spustenie skriptov, prenos komponentov škodlivého softvéru, stav dotazovania, výmena protokolov, spustenie proxy atď.
Informácie sa prenášajú šifrovaným kanálom samostatný so serializáciou vo formáte JSON. Na šifrovanie sa používa asymetrické šifrovanie AES a kódovanie Base64. Na výmenu kľúčov sa používa protokol DH (Diffie-Hellman). Na zistenie stavu si uzly neustále vymieňajú požiadavky na ping.
Všetky uzly botnetu udržiavajú distribuovanú databázu s informáciami o napadnutých a napadnutých systémoch.
Ciele útoku sa synchronizujú cez celý botnet- Každý uzol útočí na samostatný cieľ, to znamená, že dva rôzne uzly botnetu nezaútočia na toho istého hostiteľa.
uzly zhromažďujú a zasielajú miestne štatistiky susedom, napríklad veľkosť voľnej pamäte, doba prevádzkyschopnosti, zaťaženie procesora a aktivita prihlásenia SSH.
Táto informácia používa sa na rozhodnutie, či má začať proces ťažby alebo či bude uzol použitý iba na útok na iné systémy (Napríklad ťažba sa nespustí na načítaných systémoch alebo systémoch s častým pripojením správcu).
vedci navrhli jednoduchý shell skript na identifikáciu FritzFrog.
Na zistenie, či je systém poškodený, znaky ako prítomnosť načúvacieho spojenia na porte 1234, prítomnosť škodlivého kľúča v autorizovaných kľúčoch (rovnaký kľúč SSH je nainštalovaný na všetkých uzloch) a prítomnosť procesov vo vykonávaní „ifconfig“, „libexec“, „php-fpm“ v pamäti a „nginx“, ktoré nemajú priradené spustiteľné súbory („/ proc / / exe »ukazuje na vzdialený súbor).
Ako signál môže slúžiť aj prítomnosť prenosu na sieťovom porte 5555, ku ktorej dochádza, keď malware vstúpi do typického fondu web.xmrpool.eu pri ťažbe kryptomeny Monero.