FritzFrog:无文件P2P僵尸网络恶意软件分析

  • A+
所属分类:安全新闻

FritzFrog:无文件P2P僵尸网络恶意软件分析

FritzFrog:无文件P2P僵尸网络恶意软件分析

Guardicore安全研究人员发现了一个自2020年1月开始活跃的P2P僵尸网络——FritzFrog。该僵尸网络今年以来已经攻击了超过500个政府、教育、金融、医疗和电信等行业企业的SSH 服务器。

FritzFrog 是一个模块化、多线程、无文件的僵尸网络,是使用Golang语言编写的。该僵尸网络采用去中心化的基础设施,在所有节点中进行分布式控制。在这样的网络中不存在单点失效的问题,节点一直可以与其他节点通信来确保网络的活动性、弹性和更新。

除了使用专用的P2P 协议外,通信都是基于加密信道的,恶意软件可以在受害者系统中创建后门,来确保攻击者对系统的持续访问。

FritzFrog:无文件P2P僵尸网络恶意软件分析
无文件P2P 僵尸网络

之前也有过用GoLang 语言开发的僵尸网络,比如Gandalf 和 GoBrut。但FritzFrog 与Rakos更加相似,通过暴力破解SSH 登陆凭证来入侵目标系统。

FritzFrog:无文件P2P僵尸网络恶意软件分析

FritzFrog的一个特点就是无文件技术,即在内存中执行payload。一旦识别目标机器,恶意软件就会执行一系列任务,包括暴力破解、用恶意payload感染机器、将受害者加入到P2P 网络中。

FritzFrog:无文件P2P僵尸网络恶意软件分析

为绕过检测,恶意软件会运行ifconfig和NGINX,并开始监听1234 端口来接受要执行的命令,包括同步受害者网络节点的数据库和暴力破解目标。这些传输给恶意软件的命令是通过一系列设计来绕过检测的循环。僵尸网络中的攻击节点首先通过SSH 登入受害者,然后使用NETCAT 工具建立到远程服务器的连接。

此外,payload文件是通过类似BitTorrent的节点来交换的,使用了分段文件传输方法来发送数据。当节点A想要接收来自其对等节点B的文件时,就可以使用命令getblobstats 来查询节点B。然后,节点A可以通过哈希来获取特定的blob,既可以通过P2P 命令getbin也可以通过HTTP网络和URL https://node_IP:1234/blob_hash。当节点A有了所有需要的blob后,就可以用名为Assemble的模块来装配文件并运行。

FritzFrog:无文件P2P僵尸网络恶意软件分析

除了对命令响应加密和编码外,恶意软件还运行了一个名为libexec 的进程来进行门罗币挖矿,并通过添加公钥到SSH的authorized_keys 文件来在作为之后访问受害者的后门,因此之后的登陆无需再次输入密码。

FritzFrog:无文件P2P僵尸网络恶意软件分析
攻击影响

攻击活动是从2020年1月9日开始的,其中恶意软件二进制文件迭代了20个不同的版本,累计攻击超过13000次。

FritzFrog:无文件P2P僵尸网络恶意软件分析

除了攻击教育机构外,FritzFrog还暴力破解了属于政府机构、医疗中心、银行、电信公司的数百万IP 地址。Guardicore研究人员还发布了一个检测脚本来检查服务器是否被FritzFrog感染。

研究人员建议用户选择强密码和公钥认证,其安全系数更高。路由器和物联网设备常常会暴露SSH,因此会受到FritzFrog的影响。研究人员建议用户修改SSH端口或不再使用相关设备时彻底禁用SSH访问。

相关技术细节参见:https://www.guardicore.com/2020/08/fritzfrog-p2p-botnet-infects-ssh-servers/

参考及来源:https://thehackernews.com/2020/08/p2p-botnet-malware.html

FritzFrog:无文件P2P僵尸网络恶意软件分析

FritzFrog:无文件P2P僵尸网络恶意软件分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: