Guardicore Labs的安全研究人員解釋說(shuō)����,一種新發(fā)現(xiàn)的,針對(duì)SSH服務(wù)器的先進(jìn)對(duì)等(P2P)僵尸網(wǎng)絡(luò)正在使用專有協(xié)議����。
該僵尸網(wǎng)絡(luò)被稱為FritzFrog��,自2020年1月以來(lái)一直處于活動(dòng)狀態(tài)����,并通過(guò)用Golang編寫的蠕蟲破壞了目標(biāo)�����。該威脅本質(zhì)上是模塊化的����,使用無(wú)文件感染,以避免在磁盤上留下痕跡���。
FritzFrog被觀察到暴力破解數(shù)百萬(wàn)個(gè)IP地址��,并感染了500多個(gè)服務(wù)器��,其中包括美國(guó)和歐洲的一些知名大學(xué)以及一家鐵路公司����。威脅還針對(duì)政府部門�,教育和金融組織���,醫(yī)療中心,銀行和電信公司��。
在受感染的服務(wù)器上�,該惡意軟件會(huì)以SSH公鑰的形式創(chuàng)建后門,以進(jìn)行持續(xù)訪問(wèn)��。Guardicore Labs已經(jīng)發(fā)現(xiàn)了將近兩個(gè)版本的惡意軟件可執(zhí)行文件��,并指出�,這些機(jī)器人不斷通過(guò)加密通道進(jìn)行通信�。
與其他P2P僵尸網(wǎng)絡(luò)相比,威脅所具有的獨(dú)特之處在于無(wú)文件感染�����,不斷更新的目標(biāo)數(shù)據(jù)庫(kù)和被破壞機(jī)器的數(shù)據(jù)庫(kù)�����,使用廣泛詞典的蠻力攻擊�,甚至在節(jié)點(diǎn)之間分布目標(biāo)以及使用完全專有的協(xié)議。
感染后��,該惡意軟件開(kāi)始在新的受害者系統(tǒng)上以ifconfig和nginx的名稱運(yùn)行,并立即擦除自身�。它偵聽(tīng)端口1234上的命令,并使用初始命令確保受害者計(jì)算機(jī)與網(wǎng)絡(luò)對(duì)等方和目標(biāo)的數(shù)據(jù)庫(kù)同步�����。
為了隱藏流量��,通過(guò)netcat客戶端通過(guò)SSH建立連接���,該客戶端接收命令作為輸入��。僵尸網(wǎng)絡(luò)包括對(duì)30多種不同命令的支持�。
FritzFrog網(wǎng)絡(luò)中的節(jié)點(diǎn)彼此保持緊密聯(lián)系����。他們不斷地相互ping通,以驗(yàn)證連通性�,交換對(duì)等方和目標(biāo)并保持彼此同步。這些節(jié)點(diǎn)參與了一個(gè)聰明的投票過(guò)程�����,這似乎影響了整個(gè)網(wǎng)絡(luò)中暴力目標(biāo)的分布����! Guardicore Labs解釋說(shuō)。
研究人員說(shuō)�����,不僅FritzFrog二進(jìn)制文件完全在內(nèi)存中運(yùn)行��,而且目標(biāo)服務(wù)器和對(duì)等服務(wù)器的整個(gè)數(shù)據(jù)庫(kù)也在僵尸網(wǎng)絡(luò)節(jié)點(diǎn)的內(nèi)存中運(yùn)行�����。多個(gè)線程用于同時(shí)執(zhí)行各種任務(wù)����。
該惡意軟件試圖在重啟后幸免���,并留有后門以確保將來(lái)可以訪問(wèn)受害計(jì)算機(jī)���,并且網(wǎng)絡(luò)中的所有對(duì)等方都具有登錄憑據(jù)。SSH-RSA公用密鑰已添加到authorized_keys文件中���。
定期執(zhí)行Shell命令以監(jiān)視系統(tǒng)狀態(tài)�,包括可用的RAM,正常運(yùn)行時(shí)間等����,并與其他節(jié)點(diǎn)共享該信息,以確定是否應(yīng)執(zhí)行特定操作(例如運(yùn)行加密礦工)��。
基于XMRig的礦工(作為libexec進(jìn)程執(zhí)行)用于挖掘Monero虛擬貨幣�����。該礦工通過(guò)端口5555連接到公共池����。
僵尸網(wǎng)絡(luò)可以通過(guò)網(wǎng)絡(luò)共享文件,并將它們拆分為blob以避免被檢測(cè)到����。這些Blob保留在內(nèi)存中,F(xiàn)ritzFrog映射它們以跟蹤每個(gè)Blob����,同時(shí)還存儲(chǔ)其哈希值。
“當(dāng)節(jié)點(diǎn)A希望從其對(duì)等節(jié)點(diǎn)B接收文件時(shí)���,它可以使用getblobstats命令查詢節(jié)點(diǎn)B所擁有的Blob��。然后��,節(jié)點(diǎn)A可以通過(guò)其哈希(通過(guò)P2P命令getbin或通過(guò)HTTP使用URL http://:1234 /)獲得特定的blob ���。當(dāng)節(jié)點(diǎn)A具有所有所需的Blob時(shí)�,它將使用名為Assemble的特殊模塊組裝文件并運(yùn)行該文件�。” Guardicore解釋說(shuō)�����。
盡管FritzFrog是從零開(kāi)始編寫的�,并使用了其自己的,以前未曾見(jiàn)過(guò)的協(xié)議�,但安全研究人員發(fā)現(xiàn)與Rakos P2P僵尸網(wǎng)絡(luò)相似���,該僵尸網(wǎng)絡(luò)于2016年進(jìn)行了詳細(xì)說(shuō)明�。但是�����,威脅并未歸因于特定的群體。
“ FritzFrog利用了許多網(wǎng)絡(luò)安全解決方案僅通過(guò)端口和協(xié)議強(qiáng)制執(zhí)行流量的事實(shí)�����。為了克服這種隱身技術(shù)�,基于過(guò)程的分段規(guī)則可以輕松地防止此類威脅。弱密碼是FritzFrog攻擊的直接促成因素�����。我們建議選擇強(qiáng)密碼���,并使用更安全的公共密鑰身份驗(yàn)證���。” Guardicore指出���,并補(bǔ)充說(shuō)��,從authorized_keys文件中刪除僵尸網(wǎng)絡(luò)的密鑰應(yīng)該會(huì)刪除其訪問(wèn)權(quán)限����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
