无文件蠕虫FritzFrog在全球发展挖矿僵尸网络
近日, Guardicore实验室首席研究员Harpaz发现一种名为FritzFrog的无文件蠕虫,将运行SSH服务器的Linux设备(公司服务器、路由器和物联网设备)捆绑到P2P僵尸网络中,用于挖掘加密货币(门罗币),该僵尸网络的节点目前已遍布全球(北美、中国、韩国是重灾区):
与此同时,该恶意软件会在受感染的计算机上创建后门,即使更改了SSH密码,攻击者也可以通过后门访问。
Harpaz 指出:“查看代码后发现,与传统的P2P和蠕虫(’cracker’)模块相比,攻击者对获得访问漏洞服务器的兴趣更感兴趣,然后通过挖掘门罗币获利。”
对SSH服务器的访问和控制可能比传播挖矿软件赚的钱多得多。此外,FritzFrog可能是一种P2P基础设施即服务。由于该僵尸程序足够强大,可以在受害机器上运行任何可执行文件或脚本,因此该僵尸程序可以在暗网中出租,可以满足其任何恶意愿望。
蠕虫的目标
FritzFrog是一种模块化,多线程,无文件的SSH Internet蠕虫,它试图通过破坏公共IP地址来发展P2P僵尸网络,而忽略了为私有地址保存的已知范围。
“在拦截FritzFrog P2P网络时,我们已经看到由顺序IP地址组成的目标列表,从而对互联网中的IP范围进行了非常系统的扫描,” Harpaz解释说。
自2020年1月以来,该僵尸网络以政府机关、教育机构、医疗中心、银行和众多电信公司的IP地址为目标,并成功突破了500多个SSH服务器。
技术非常先进
FritzFrog是用Golang编写的恶意软件,技术含量很高,似乎是高度专业的软件开发人员的作品,主要特点如下:
- 它是无文件的。在内存中组装和执行有效负载,在没有工作目录的情况下运行,并且在节点之间共享和交换文件时也使用无文件方法。
- 基于大量词典。它的暴力尝试极具侵略性。
- 高效。网络中没有两个节点试图“破解”同一台目标计算机
- 它的P2P协议是专有的,是从头开始编写的(即,不是基于现有的实现)
- 它以添加到authorized_keys文件中的SSH-RSA公钥的形式创建后门。使用私钥,攻击者可以在需要时随时访问威胁计算机,而无需知道SSH密码。
FritzFrog难以被侦测的主要原因:
- 它的进程以ifconfig,nginx或libexec的名称运行(后者在门罗币采矿时使用)
- 在受感染机器上运行本地netcat客户端,通过标准SSH端口建立其P2P命令隧道。通过SSH发送的任何命令都将用作netcat的输入并传输给恶意软件
“除了采用新颖的命令发送方式,该过程还实现了完全自动化并在恶意软件的控制下。即使在为新感染的主机创建了P2P通道之后,该恶意软件仍会继续向受害者发送命令。” Harpaz指出。
Guardicore Labs开发了一种拦截该僵尸网络发送和接受命令的工具。但僵尸网络的运营者也可以做完全相同的事情,而且操作员很有可能具有将命令手动发送到网络中某些(或所有)节点的手段。”
检查您的设备是否成了僵尸网络的一部分
在SSH服务器上检测到一个挖矿软件并不能证明它已被感染,因为该恶意软件会检查该计算机是否具备挖矿的额外计算资源,进而决定是否启动挖矿。
管理员可以使用检测脚本(https://github.com/guardicore/labs_campaigns/blob/master/FritzFrog/detect_fritzfrog.sh)来搜索上述无文件进程,恶意软件在端口1234和5555上侦听TCP流量(到Monero池的网络流量)的证据。
重新启动受影响的机器/设备会从内存中删除恶意软件并终止恶意软件进程,但由于受害者会立即“被登录”到P2P网络,因此它将立即被再次感染。
缓解措施:
- 终止恶意进程
- 将SSH密码更改为强密码并使用公共密钥身份验证
- 从authorized_keys文件中删除FritzFrog的公钥以“关闭”后门
- 如果不需要服务,请考虑更改路由器和IoT设备的SSH端口或完全禁用对它们的SSH访问
相关文章
- 5条评论
- 冬马馥妴2022-05-28 18:04:09
- 基于大量词典。它的暴力尝试极具侵略性。高效。网络中没有两个节点试图“破解”同一台目标计算机它的P2P协议是专有的,是从头开始编写的(即,不是基于现有的实现)它以添加到authorized_keys文件中的SSH-RSA公钥的形式创建后门。使用私钥
- 森槿鸢栀2022-05-28 09:49:34
- 近日, Guardicore实验室首席研究员Harpaz发现一种名为FritzFrog的无文件蠕虫,将运行SSH服务器的Linux设备(公司服务器、路由器和物联网设备)捆绑到P2P僵尸网络中,用于挖掘加密货币(门
- 澄萌池木2022-05-28 12:03:46
- 写的恶意软件,技术含量很高,似乎是高度专业的软件开发人员的作品,主要特点如下:它是无文件的。在内存中组装和执行有效负载,在没有工作目录的情况下运行,并且在节点之间共享和交换文件时也使用无文件方法。基于大量词典。它的暴力尝试极具侵略性。高效。网络中没有两个节
- 辞眸鹿鸢2022-05-28 13:40:47
- 钥身份验证从authorized_keys文件中删除FritzFrog的公钥以“关闭”后门如果不需要服务,请考虑更改路由器和IoT设备的SSH端口或完全禁用对它们的SSH访
- 南殷绾痞2022-05-28 10:26:17
- ter/FritzFrog/detect_fritzfrog.sh)来搜索上述无文件进程,恶意软件在端口1234和5555上侦听TCP流量(到Monero池的网络流量)的证据。重新启动受影响的机器/设备会从内存中删除恶意软件并终止恶意软件进程,但由