1. 威客安全首页
  2. 安全资讯

无文件蠕虫FritzFrog在全球发展挖矿僵尸网络

点击蓝字关注我们




近日, Guardicore实验室首席研究员Harpaz发现一种名为FritzFrog的无文件蠕虫,将运行SSH服务器的Linux设备(公司服务器、路由器和物联网设备)捆绑到P2P僵尸网络中,用于挖掘加密货币(门罗币),该僵尸网络的节点目前已遍布全球(北美、中国、韩国是重灾区):


无文件蠕虫FritzFrog在全球发展挖矿僵尸网络


与此同时,该恶意软件会在受感染的计算机上创建后门,即使更改了SSH密码,攻击者也可以通过后门访问。


Harpaz 指出:“查看代码后发现,与传统的P2P和蠕虫(‘cracker’)模块相比,攻击者对获得访问漏洞服务器的兴趣更感兴趣,然后通过挖掘门罗币获利。”


“对SSH服务器的访问和控制可能比传播挖矿软件赚的钱多得多。此外,FritzFrog可能是一种P2P基础设施即服务。由于该僵尸程序足够强大,可以在受害机器上运行任何可执行文件或脚本,因此该僵尸程序可以在暗网中出租,可以满足其任何恶意愿望。”



蠕虫的目标


FritzFrog是一种模块化、多线程、无文件的SSH Internet蠕虫,它试图通过破坏公共IP地址来发展P2P僵尸网络,而忽略了为私有地址保存的已知范围。


“在拦截FritzFrog P2P网络时,我们已经看到由顺序IP地址组成的目标列表,从而对互联网中的IP范围进行了非常系统的扫描,”Harpaz解释说。


自2020年1月以来,该僵尸网络以政府机关、教育机构、医疗中心、银行和众多电信公司的IP地址为目标,并成功突破了500多个SSH服务器。



技术非常先进


FritzFrog是用Golang编写的恶意软件,技术含量很高,似乎是高度专业的软件开发人员的作品,主要特点如下:


·它是无文件的。在内存中组装和执行有效负载,在没有工作目录的情况下运行,并且在节点之间共享和交换文件时也使用无文件方法。

·基于大量词典。它的暴力尝试极具侵略性。

·高效。网络中没有两个节点试图“破解”同一台目标计算机。

·它的P2P协议是专有的,是从头开始编写的(即,不是基于现有的实现)。

·它以添加到authorized_keys文件中的SSH-RSA公钥的形式创建后门。使用私钥,攻击者可以在需要时随时访问威胁计算机,而无需知道SSH密码。


FritzFrog难以被侦测的主要原因: 

·它的进程以ifconfig、nginx或libexec的名称运行(后者在门罗币采矿时使用)。

·在受感染机器上运行本地netcat客户端,通过标准SSH端口建立其P2P命令隧道。通过SSH发送的任何命令都将用作netcat的输入并传输给恶意软件。


“除了采用新颖的命令发送方式,该过程还实现了完全自动化并在恶意软件的控制下。即使在为新感染的主机创建了P2P通道之后,该恶意软件仍会继续向受害者发送命令。”Harpaz指出。


“Guardicore Labs开发了一种拦截该僵尸网络发送和接受命令的工具。但僵尸网络的运营者也可以做完全相同的事情,而且操作员很有可能具有将命令手动发送到网络中某些(或所有)节点的手段。”



检查您的设备是否成了僵尸网络的一部分


在SSH服务器上检测到一个挖矿软件并不能证明它已被感染,因为该恶意软件会检查该计算机是否具备挖矿的额外计算资源,进而决定是否启动挖矿。


管理员可以使用检测脚本(https://github.com/guardicore/labs_campaigns/blob/master/FritzFrog/detect_fritzfrog.sh)来搜索上述无文件进程,恶意软件在端口1234和5555上侦听TCP流量(到Monero池的网络流量)的证据。


重新启动受影响的机器/设备会从内存中删除恶意软件并终止恶意软件进程,但由于受害者会立即“被登录”到P2P网络,因此它将立即被再次感染。


缓解措施:

·终止恶意进程

·将SSH密码更改为强密码并使用公共密钥身份验证

·从authorized_keys文件中删除FritzFrog的公钥以“关闭”后门

·如果不需要服务,请考虑更改路由器和IoT设备的SSH端口或完全禁用对它们的SSH访问


相关阅读

“奇点”中的黑客与蠕虫

“世界末日”级蠕虫永恒之石 利用7个NSA漏洞

僵尸网络在美国国防部网络中“挖矿”


无文件蠕虫FritzFrog在全球发展挖矿僵尸网络

合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com





无文件蠕虫FritzFrog在全球发展挖矿僵尸网络

原文始发于微信公众号(安全牛):无文件蠕虫FritzFrog在全球发展挖矿僵尸网络

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论