Các nhà nghiên cứu an ninh mạng hôm nay đã tóm gọn một mạng botnet ngang hàng (P2P) phức tạp, đa chức năng được viết bằng Golang đã tích cực nhắm mục tiêu vào các máy chủ SSH kể từ tháng 1 năm 2020.
Gọi là “FritzFrog“botnet mô-đun, đa luồng và không chứa tệp tin đã xâm phạm hơn 500 máy chủ cho đến nay, lây nhiễm các trường đại học nổi tiếng ở Mỹ và châu Âu, và một công ty đường sắt, theo một báo cáo do Guardicore Labs công bố hôm nay.
“Với cơ sở hạ tầng phi tập trung, nó phân phối quyền kiểm soát giữa tất cả các nút của nó” GuardicoreOphir Harpaz nói. “Trong mạng lưới này không có điểm lỗi nào, các đồng nghiệp liên tục giao tiếp với nhau để giữ cho mạng tồn tại, phục hồi và cập nhật.”
Ngoài việc triển khai một giao thức P2P độc quyền được viết từ đầu, các thông tin liên lạc được thực hiện qua một kênh được mã hóa, với phần mềm độc hại có khả năng tạo ra một cửa sau trên hệ thống nạn nhân để cấp quyền truy cập liên tục cho những kẻ tấn công.
Một Botnet P2P không lọc
Mặc du Các botnet dựa trên GoLang đã được quan sát trước đây, chẳng hạn như Gandalf và GoBrut, FritzFrog dường như chia sẻ một số điểm tương đồng với Rakos, một backdoor Linux khác dựa trên Golang trước đây được phát hiện là đã xâm nhập vào các hệ thống mục tiêu thông qua các nỗ lực vũ phu khi đăng nhập SSH.
Nhưng điều làm cho FritzFrog trở nên độc đáo là nó không có bộ lọc, có nghĩa là nó tập hợp và thực thi tải trọng trong bộ nhớ và tích cực hơn trong việc thực hiện các cuộc tấn công bạo lực, đồng thời hiệu quả bằng cách phân phối các mục tiêu đồng đều trong mạng botnet.
Sau khi máy mục tiêu được xác định, phần mềm độc hại sẽ thực hiện một loạt các nhiệm vụ liên quan đến việc cưỡng bức nó, lây nhiễm cho máy các tải trọng độc hại khi vi phạm thành công và thêm nạn nhân vào mạng P2P.
Để lọt vào tầm ngắm, phần mềm độc hại chạy như ifconfig và NGINX, đồng thời bắt đầu lắng nghe trên cổng 1234 để nhận thêm các lệnh để thực thi, bao gồm cả những lệnh để đồng bộ hóa nạn nhân với cơ sở dữ liệu của các đối tượng ngang hàng mạng và mục tiêu bạo lực.
Bản thân các lệnh được truyền tới phần mềm độc hại thông qua một loạt các vòng lặp được thiết kế để tránh bị phát hiện. Đầu tiên, nút của kẻ tấn công trong mạng botnet bám vào một nạn nhân cụ thể qua SSH và sau đó sử dụng tiện ích NETCAT để thiết lập kết nối với máy chủ từ xa.
Hơn nữa, các tệp tải trọng được trao đổi giữa các nút theo kiểu BitTorrent, sử dụng phương pháp truyền tệp được phân đoạn để gửi các đốm dữ liệu.
Harpaz nói: “Khi một nút A muốn nhận một tệp từ đồng đẳng của nó, nút B, nó có thể truy vấn nút B mà nó sở hữu bằng cách sử dụng lệnh getblobstats. “Sau đó, nút A có thể lấy một đốm màu cụ thể bằng hàm băm của nó, bằng lệnh P2P getbin hoặc qua HTTP, với URL ‘https: // node_IP: 1234 / blob_hash.’ Khi nút A có tất cả các đốm màu cần thiết, nó sẽ tập hợp tệp bằng một mô-đun đặc biệt có tên Assemble và chạy nó. “
Ngoài việc mã hóa và mã hóa các phản hồi lệnh, phần mềm độc hại còn chạy một quy trình riêng biệt, có tên là “libexec”, để khai thác các đồng tiền Monero và để lại một cửa hậu để nạn nhân truy cập trong tương lai bằng cách thêm khóa công khai đến SSH’s “ủy quyền“để các thông tin đăng nhập có thể được xác thực mà không cần phải dựa vào mật khẩu một lần nữa.
13.000 cuộc tấn công được phát hiện kể từ tháng 1
Theo công ty an ninh mạng, chiến dịch bắt đầu vào ngày 9 tháng 1 trước khi đạt được tổng số 13.000 cuộc tấn công kể từ lần đầu tiên xuất hiện, trải dài trên 20 phiên bản khác nhau của mã nhị phân phần mềm độc hại.
Bên cạnh việc nhắm mục tiêu vào các tổ chức giáo dục, FritzFrog còn bị phát hiện cưỡng bức hàng triệu địa chỉ IP thuộc các tổ chức chính phủ, trung tâm y tế, ngân hàng và công ty viễn thông.
Guardicore Labs cũng đã cung cấp một tập lệnh phát hiện để kiểm tra xem máy chủ có bị FritzFrog lây nhiễm hay không, cùng với việc chia sẻ các chỉ số khác về sự xâm nhập (IoC).
Harpaz kết luận: “Mật khẩu yếu là nguyên nhân ngay lập tức gây ra các cuộc tấn công của FritzFrog. “Chúng tôi khuyên bạn nên chọn mật khẩu mạnh và sử dụng xác thực khóa công khai, điều này an toàn hơn nhiều. Bộ định tuyến và thiết bị IoT thường để lộ SSH và do đó dễ bị FritzFrog tấn công – hãy cân nhắc thay đổi cổng SSH của họ hoặc tắt hoàn toàn quyền truy cập SSH đối với chúng nếu dịch vụ không được sử dụng . “
