無文件蠕蟲FritzFrog在全球發展挖礦僵尸網絡
責編:gltian |2020-08-21 10:08:03近日, Guardicore實驗室首席研究員Harpaz發現一種名為FritzFrog的無文件蠕蟲,將運行SSH服務器的Linux設備(公司服務器、路由器和物聯網設備)捆綁到P2P僵尸網絡中,用于挖掘加密貨幣(門羅幣),該僵尸網絡的節點目前已遍布全球(北美、中國、韓國是重災區):
與此同時,該惡意軟件會在受感染的計算機上創建后門,即使更改了SSH密碼,攻擊者也可以通過后門訪問。
Harpaz 指出:“查看代碼后發現,與傳統的P2P和蠕蟲(’cracker’)模塊相比,攻擊者對獲得訪問漏洞服務器的興趣更感興趣,然后通過挖掘門羅幣獲利。”
對SSH服務器的訪問和控制可能比傳播挖礦軟件賺的錢多得多。此外,FritzFrog可能是一種P2P基礎設施即服務。由于該僵尸程序足夠強大,可以在受害機器上運行任何可執行文件或腳本,因此該僵尸程序可以在暗網中出租,可以滿足其任何惡意愿望。
蠕蟲的目標
FritzFrog是一種模塊化,多線程,無文件的SSH Internet蠕蟲,它試圖通過破壞公共IP地址來發展P2P僵尸網絡,而忽略了為私有地址保存的已知范圍。
“在攔截FritzFrog P2P網絡時,我們已經看到由順序IP地址組成的目標列表,從而對互聯網中的IP范圍進行了非常系統的掃描,” Harpaz解釋說。
自2020年1月以來,該僵尸網絡以政府機關、教育機構、醫療中心、銀行和眾多電信公司的IP地址為目標,并成功突破了500多個SSH服務器。
技術非常先進
FritzFrog是用Golang編寫的惡意軟件,技術含量很高,似乎是高度專業的軟件開發人員的作品,主要特點如下:
- 它是無文件的。在內存中組裝和執行有效負載,在沒有工作目錄的情況下運行,并且在節點之間共享和交換文件時也使用無文件方法。
- 基于大量詞典。它的暴力嘗試極具侵略性。
- 高效。網絡中沒有兩個節點試圖“破解”同一臺目標計算機
- 它的P2P協議是專有的,是從頭開始編寫的(即,不是基于現有的實現)
- 它以添加到authorized_keys文件中的SSH-RSA公鑰的形式創建后門。使用私鑰,攻擊者可以在需要時隨時訪問威脅計算機,而無需知道SSH密碼。
FritzFrog難以被偵測的主要原因:
- 它的進程以ifconfig,nginx或libexec的名稱運行(后者在門羅幣采礦時使用)
- 在受感染機器上運行本地netcat客戶端,通過標準SSH端口建立其P2P命令隧道。通過SSH發送的任何命令都將用作netcat的輸入并傳輸給惡意軟件
“除了采用新穎的命令發送方式,該過程還實現了完全自動化并在惡意軟件的控制下。即使在為新感染的主機創建了P2P通道之后,該惡意軟件仍會繼續向受害者發送命令。” Harpaz指出。
Guardicore Labs開發了一種攔截該僵尸網絡發送和接受命令的工具。但僵尸網絡的運營者也可以做完全相同的事情,而且操作員很有可能具有將命令手動發送到網絡中某些(或所有)節點的手段。”
檢查您的設備是否成了僵尸網絡的一部分
在SSH服務器上檢測到一個挖礦軟件并不能證明它已被感染,因為該惡意軟件會檢查該計算機是否具備挖礦的額外計算資源,進而決定是否啟動挖礦。
管理員可以使用檢測腳本(https://github.com/guardicore/labs_campaigns/blob/master/FritzFrog/detect_fritzfrog.sh)來搜索上述無文件進程,惡意軟件在端口1234和5555上偵聽TCP流量(到Monero池的網絡流量)的證據。
重新啟動受影響的機器/設備會從內存中刪除惡意軟件并終止惡意軟件進程,但由于受害者會立即“被登錄”到P2P網絡,因此它將立即被再次感染。
緩解措施:
- 終止惡意進程
- 將SSH密碼更改為強密碼并使用公共密鑰身份驗證
- 從authorized_keys文件中刪除FritzFrog的公鑰以“關閉”后門
- 如果不需要服務,請考慮更改路由器和IoT設備的SSH端口或完全禁用對它們的SSH訪問