FritzFrog：P2P 僵尸网络回归

执行摘要

• FritzFrog 是Guardicore Labs于 2020 年 8 月发现的点对点僵尸网络。

• 去中心化僵尸网络的目标是所有暴露 SSH 服务器的设备：云平台、数据中心服务器、路由器等，并且能够在被感染的设备上运行恶意payload。

• 它的架构和专有代码具有较高水平的复杂性。

• 它在近期回归，在一个月内的感染率增长了 10倍，针对了医疗保健、教育和政府行业的目标。

• 自僵尸网络再次出现以来，已有 1500 台的设备被感染。

• 正在传播的 Golang 恶意软件为僵尸网络增加了新功能，包括使用代理网络和定位 WordPress 服务器。

• 最近一轮的攻击为 FritzFrog 的归因提供了更多证据。

FritzFrog

FritzFrog v1 — 快速回顾

FritzFrog 是一个P2P僵尸网络，这意味着它的命令和控制服务器不限于单个集中式机器，而是可以在其分布式网络中的每台机器上完成。换句话说，每台运行恶意软件进程的主机都成为网络的一部分，并且能够发送、接收和执行命令来控制网络中的机器。

FritzFrog 通过 SSH 传播。一旦它使用简单（但具有攻击性）的暴力攻击找到服务器的凭据，就会与新目标建立 SSH 会话，并在主机上安装恶意软件可执行文件。然后恶意软件开始侦听并等待命令。这些命令包括交换目标、共享受感染机器的详细信息、传输文件以及运行脚本和二进制payload。

研究人员认为 FritzFrog 是“下一代”僵尸网络，因为它的一系列特性使其在威胁领域中独一无二：

不断更新——目标和被入侵设备的数据库可以无缝交换；

侵略性——基于一个广泛字典的暴力破解，相比之下，最近发现的另一个 P2P 僵尸网络 DDG 只使用了用户名“root“；

高效性——目标在节点之间均匀分布

专有性——P2P 协议是完全专有的，不依赖于已知的 P2P 协议，例如 μTP

 

FritzFrog v2 — 重新浮出水面

在 2020 年 8 月发布有关 FritzFrog 的详细信息后，Guardicore Labs 团队注意到攻击事件的数量有所下降。然而，在 2021 年 12 月初，研究人员开始看到攻击有所增加。

FritzFrog 攻击从 SSH 暴力破解开始，然后继续安装并执行文件。该文件立即开始侦听端口 1234 并通过端口 22 和2222 扫描数千个 Internet IP 地址。

旧的 FritzFrog 攻击和新的攻击之间的一个区别是恶意进程的名称。在第一轮攻击中，恶意进程被命名为ifconfig或nginx；这次FritzFrog 使用了名称 apache2。

研究人员开始监测新变种，发现FritzFrog 攻击的数量大幅增加，达到了每天 500 起的峰值。

自首次出现以来，检测到的 FritzFrog 攻击事件的数量

 

目标分析

下图显示了每天攻击研究人员传感器的 IP 地址数量以及连续几天攻击者数量的差异。攻击节点（运行恶意软件的被感染设备）数量的增加令人不安。

    每天捕获的攻击节点数量

连续天之间的攻击节点数差异

 在第二轮活动中，FritzFrog 成功感染了 1,500 多个设备。这些目标属于多种行业的组织，涉及医疗保健、高等教育和政府。研究人员在欧洲电视频道网络、俄罗斯医疗设备制造商和东亚的多所大学中发现了被感染设备。

被攻击目标大多在赤道以北

 

恶意软件新功能

FritzFrog 二进制文件是用 Golang 编写的，可以编译到许多不同的架构上运行。它使用 UPX 打包，通常在以下4个进程、下执行：ifconfig、nginx、apache2或 php-fpm。

FritzFrog 每天都更新，有时一天更新多次。大多数新版本都涉及错误修复，但有些版本为恶意软件添加了新功能。

WordPress定位功能

FritzFrog 发布了一个新版本，该版本实现了跟踪WordPress 服务器的基础设施。它包含负责从 Wordpress 和 WordpressTargetsTTL 的列表中添加和删除条目的函数。下面的反汇编代码片段显示了一个新的 P2P 命令 put wordpress 的实现，它向 WordPress 目标列表添加了一个新条目。在撰写本报告时，这些列表（保存在所有被感染的设备中）仍然是空的。

该恶意软件不包含任何能够破解或识别WordPress 目标的模块。基于此，研究人员推断该代码是为新版本做准备，它将能够破坏这些目标并将它们用于挖矿以外的目的，例如信息泄露、勒索软件等。

Tor代理链

FritzFrog 可以使用 Tor 代理传出 SSH 连接，方法是将 SSH 连接的代理设置为本地端口 9050。Tor 代理链是一个节点网络，通过创建一个基于封装的从源到目的地的路径，为用户提供更好的隐私：每个节点只知道它的直接邻居节点。

通过将请求代理到本地端口 9050，FritzFrog 使用 Tor 连接到自己的 SSH 设备。设备会将传入请求视为来自代理链中的最后一个节点。这可以用来隐藏当前被感染设备的地址。截至目前，虽然该功能存在，但尚未检测到恶意软件使用此功能。

SCP

FritzFrog现在使用SCP将自己复制到一个被攻击的远程服务器上。这与第一个版本不同，在第一个版本中，恶意软件可执行文件通过已建立的 SSH 会话使用 cat 命令安装到新被感染设备上。新的版本使用了一个GitHub中Golang编写的公共SCP库。无法确定二者之间的优势。

黑名单

FritzFrog 的早期版本实施了一个黑名单，以排除特定机器被暴力破解模块破坏。虽然有一个特殊的P2P命令putblentry允许将条目动态插入到这个列表中，但新版本提前对几个条目进行了硬编码。

其中部分条目指定了 Unix 名称，部分指定了 IP 地址，但绝不会同时指定两者。

硬编码到新的 FritzFrog 样本中的黑名单条目

[ {"Address":"",

 "Uname_match":"[redacted]dddz.me 3.10.0-693.2.2.el7.x86_64 #1 SMP Tue Sep 12 22:26:13UTC 2017"},

{"Address":"",

"Uname_match":"[redacted]-1 4.4.0-151-generic #178-Ubuntu SMP Tue Jun 11 08: 30: 22 UTC2019"},

{"Address":"",

"Uname_match":"[redacted].amzn2.x86_64 #1 SMP Mon Jun 18 22: 33: 07 UTC 2018 x86_64GNU/Linux"},

{"Address":"",

"Uname_match":"[redacted]-generic #113-Ubuntu SMP Thu Jul 9 23: 41: 39 UTC 2020"},

{"Address":"",

"Uname_match":"[redacted] raspberrypi 4.4.32-v7+ #924 SMP Tue Nov 15 18: 11: 28 GMT 2016armv7l GNU/Linux"},

{"Address":"",

"Uname_match":[redacted] 3.10.0-123.4.4.el7.x86_64 #1 SMP Fri Jul 25 05: 07: 12 UTC 2014x86_64 x86_64 x86_64 GNU/Linux"},

{"Address":"",

"Uname_match":[redacted] 4.18.0-193.28.1.el8_2.x86_64 #1 SMP Thu Oct 22 00: 20: 22 UTC 2020x86_64 x86_64 x86_64 GNU/Linux"},

{"Address":"[redacted].24: 22",

"Uname_match":""},

{"Address":"[redacted].88: 22",

"Uname_match":""},

{"Address":"[redacted].26: 22",

"Uname_match":""}]

 这些条目表明，该团伙正在寻求避免感染资源较少的低端系统，例如 Raspberry Pi 设备或 AWS 上的低资源 EC2 镜像。

黑名单中的一个 IP 来自俄罗斯。它有多个开放端口和一长串未修补的漏洞，因此它可能是一个蜜罐。此外，第二个指向一个开源僵尸网络的漏洞。这两个条目表明攻击者正试图绕过检测和分析。

其中两个 IP 地址位于美国。一个阻止了马里兰大学，原因尚不清楚，第二个显示一个恶作剧，或在浏览器发出警告，似乎意识到对恶意软件进行的调查。

警告显示“好奇害死猫”

 

起源和归属

最近对该活动的更改使研究人员能够调查此恶意软件的潜在来源。虽然仍无法确定它的真实来源，但分享这些信息可能很有价值。

第一个证据来自friitzfrog恶意软件scp中新增的一个库，实现了SSH上文件传输的安全拷贝协议。这个库是用Go编写的。

另一个证据来自 FritzFrog 的加密货币挖矿活动。研究团队已设法找到新的钱包地址以及用于加密挖掘过程的新矿池。其中一个新观察到的钱包地址（如下所示）也被用作Mozi僵尸网络活动的一部分。

FritzFrogMonero 钱包地址连接到 Mozi

47BD6QNfkWf8ZMQSdqp2tY1AdG8ofsEPf4mcDp1YB4AX32hUjoLjuDaNrYzXk7cQcoPBzAuQrmQTgNgpo6XPqSBLnfsjaV

 

建议

• 始终保持系统更新

• 使用强密钥管理和轮换系统实现无密码登录

• 启启用系统登录审计和告警功能

• 监控 Linux 上的 authorized_hosts 文件

• 配置 SSH 登录的显式允许列表

• 禁用 root SSH 访问

 

原文链接：

https://www.akamai.com/blog/security/fritzfrog-p2p

 

 

 

原文始发于微信公众号（维他命安全）：FritzFrog：P2P 僵尸网络回归