Guardicore (云和数据中心安全公司) 发现了新的恶意软件 高科技,称为 “ FritzFrog”,它影响基于Linux的服务器。 FritzFrog结合了一种蠕虫 通过蛮力攻击传播 在具有开放SSH端口的服务器上 和组件 建立一个分散的僵尸网络 它可以在没有控制节点的情况下工作,并且没有单点故障。
根据研究人员, 僵尸网络已经有大约500个节点,包括来自几所大学和一家大型铁路公司的服务器。 FritzFrog的独特之处在于它仅将所有数据和可执行代码保留在内存中。
对磁盘的更改归结为只是将新的SSH密钥添加到Authorized_keys文件中,然后该文件用于访问服务器。
系统文件保持不变,从而使蠕虫对于验证校验和完整性的系统不可见。 内存中还包含用于暴力破解密码的字典和用于挖掘的数据,这些字典使用P2P协议在节点之间同步。
恶意组件被伪装在“ ifconfig”,“ libexec”,“ php-fpm”和“ nginx”进程下。
僵尸网络节点监视其邻居的运行状况,并且在服务器重新启动或什至重新安装操作系统(如果已将修改的authorized_keys文件已转移到新系统)的情况下,它们会重新激活主机上的恶意组件。
为了进行通信,使用常规SSH:恶意软件还会启动本地的“ netcat” 加入本地主机接口并在端口1234上侦听流量,使用allowed_keys密钥通过SSH隧道访问的外部节点。
恶意软件 包括在不同线程上运行的几个模块:
- 饼干-在受攻击的服务器上使用原始密码。
- CryptoComm +解析器-组织加密的P2P连接。
- CastVotes: 它是联合选择目标主机进行攻击的一种机制。
- 目标饲料:获取要从相邻节点攻击的节点列表。
- DeployMgmt: 它是蠕虫的一种实现,它将恶意代码传播到受感染的服务器。
- 拥有-它负责连接到已经在运行恶意代码的服务器。
- 组装-从单独传输的块中将文件汇编到内存中。
- 的AntiVir-抑制竞争对手恶意软件的模块,使用字符串“ xmr”检测并杀死消耗CPU资源的进程。
- Libexec: 是用于挖掘Monero加密货币的模块。
FritzFrog中使用的P2P协议支持大约30条命令 负责在节点之间传输数据,启动脚本,传输恶意软件组件,轮询状态,交换日志,启动代理等。
信息通过加密通道传输 独立,并以JSON格式进行序列化。 对于加密,使用AES非对称加密和Base64编码。 DH(Diffie-Hellman)协议用于密钥交换。 为了确定状态,节点不断交换ping请求。
所有僵尸网络节点都维护一个分布式数据库 包含有关受攻击和受感染系统的信息。
攻击目标在整个僵尸网络中同步-每个节点攻击一个单独的目标,即两个不同的僵尸网络节点将不会攻击同一主机。
节点数 他们还收集本地统计数据并将其传输给邻居, 例如可用内存大小,正常运行时间,CPU负载和SSH登录活动。
这个信息 用于决定是开始挖掘过程还是仅使用节点攻击其他系统 (例如,挖掘不会在已加载的系统或具有频繁管理员连接的系统上开始)。
研究人员 已经提出了一个简单的shell脚本来识别FritzFrog。
要确定系统是否已损坏,请使用以下标志,例如端口1234上存在侦听连接,授权密钥中是否存在恶意密钥(所有节点上都安装了相同的SSH密钥)以及执行中的进程是否存在。内存中的“ ifconfig”,“ libexec”,“ php-fpm”和“ nginx”没有关联的可执行文件(“ / proc / / exe»指向远程文件)。
当恶意软件在挖掘Monero加密货币时访问典型的web.xmrpool.eu池时,会在网络端口5555上出现流量,这也可以作为信号。