无纺丝蠕虫建造加密,植物植物

一款无纺布蠕虫配有Fritzfrog已被发现绳索基于Linux的设备–公司服务器,路由器和IOT设备–使用SSH服务器进入P2P僵尸网络,其明显目标是挖掘Cryptocurrency。

但是,恶意软件在受感染的机器上创建一个后门,允许攻击者在以后的日期访问它,即使SSH密码在此期间更改。

“与P2P和蠕虫一起查看专用于矿工的代码量时(‘cracker’) modules –我们可以自信地说,攻击者对获得违规服务器的访问更感兴趣,然后通过Monero赚取利润,” 守护者 Labs Lead研究员Ophir Harpaz讲述了帮助净安全。

“这种访问和控制在SSH服务器上的价值比传播密码更高。此外,FritzFrog可能是一个P2P-infastructure-as-service;由于它足够强大,以便在受害者机器上运行任何可执行文件或脚本,因此该僵尸网络可能会在Darknet中销售,并且是其运营商的精灵,满足其任何恶意愿望。”

蠕虫’s targets

FritzFrog是一种模块化,多线程和无纺丝SSH Internet蠕虫,它试图通过分解为公共IP地址来发展P2P僵尸网络,忽略保存为私人地址的已知范围。

僵尸网络在全球范围内有节点:

无纺丝蠕虫P2P僵尸网络

“在拦截FRITZFROG P2P网络时,我们已经看到了由连续IP地址组成的目标列表,从而导致Internet中IP范围的系统扫描非常系统扫描,” Harpaz explained.

自2020年1月以来,它针对政府办公室,教育机构,医疗中心,银行和众多电信公司的IP地址,并成功违反了500多名SSH服务器。

一块先进的恶意软件

在Golang写的,恶意软件似乎是高度专业的软件开发人员的工作:

  • It’s fileless –它组装并执行内存中的有效载荷,没有工作目录运行,并且在共享和交换节点之间的文件时也使用Filless方法
  • 它的蛮力尝试是侵略性的,基于广泛的字典
  • It’s efficient –网络中没有两个节点尝试“破解”相同的目标机器
  • 其P2P协议是专有的,并由划痕(即,而不是基于现有实施)
  • 它以添加到的SSH-RSA公钥的形式创建一个后门 授权_KEY. 文件。通过秘密私钥,攻击者可以随时访问妥协机器,无需了解SSH密码

允许恶意软件在雷达下飞行的其他事情:

  • It’■在名称下运行 ifconfig., nginx. 或者 libexec. (后者在Monero-Mining时使用)
  • 它通过在受感染的机器上运行本地NetCat客户端来隧道通过标准SSH端口突破其P2P命令。通过SSH发送的任何命令用作Netcat的输入并传输到恶意软件

“即使使用这种创造性的发送命令方式,该过程仍然完全自动化,并在恶意软件的控制下。即使在将此P2P通道创建到新感染的主机之后,恶意软件也是保留将受害者送入命令的P2P通道,” Harpaz noted.

“但是,有可能是手动,人工操作的命令被发送到网络对等体。 Guardicore Labs开发了一种拦截网络的工具,能够按需发送和接收命令。此广告系列后面的演员可以做到完全相同的事情,并且非常可能性,操作员具有用于手动将命令发送到网络中的某些(或所有)节点的手段。”

检查您的机器是僵尸网络的一部分

在运行SSH服务器的机器上检测到隐窝器不证明它’S被感染,因为恶意软件检查机器是否可以消耗矿井,并决定如果它可以抵抗它’t.

管理员可以使用一个 检测脚本 搜索前述过滤过程,对端口1234和TCP流量的恶意软件的证据(通过端口5555(网络流量到Monero池)。

虽然受影响的计算机/设备的重启将从内存中删除恶意软件并终止恶意软件进程,因为受害者立即‘logged’对于P2P网络以及其登录凭据,它将在任何时候都重新感染。

相反,管理员应该:

  • 终止恶意进程
  • 将SSH密码更改为强大的密码并使用公钥身份验证
  • 从中删除FritzFrog的公钥 授权_KEY. file to “close” the backdoor
  • 考虑更改路由器’ and IoT devices’如果不需要服务,SSH端口或完全禁用SSH访问权限
分享这个