无文件蠕虫构建加密挖矿,后门植入P2P僵尸网络

已经发现一种名为FritzFrog的无文件蠕虫正在绕基于Linux的设备–公司服务器,路由器和物联网设备–通过SSH服务器进入一个P2P僵尸网络,其明显目标是挖掘加密货币。

同时,该恶意软件会在受感染的计算机上创建后门,即使同时更改了SSH密码,攻击者也可以在以后访问它。

“在查看专用于矿工的代码量时,与P2P和蠕虫(‘cracker’) modules –我们可以自信地说,攻击者对获得对破坏服务器的访问权然后通过Monero获利的兴趣更大,” 瓜迪科 实验室首席研究员Ophir Harpaz告诉Help Net Security。

“对SSH服务器的这种访问和控制可能比散布加密矿工更有价值。另外,FritzFrog可能是一种P2P基础设施即服务。由于该僵尸程序足够健壮,可以在受害机器上运行任何可执行文件或脚本,因此该僵尸程序可以在暗网中出售,并成为其运营商的精灵,可以实现其任何恶意愿望。”

虫子’s targets

FritzFrog是一种模块化,多线程,无文件的SSH Internet蠕虫,它试图通过破坏公共IP地址来发展P2P僵尸网络,而忽略了为私有地址保存的已知范围。

僵尸网络的节点遍布全球:

无文件蠕虫P2P僵尸网络

“在拦截FritzFrog P2P网络时,我们已经看到目标列表,其中包含顺序的IP地址,从而对互联网中的IP范围进行了非常系统的扫描,” Harpaz explained.

自2020年1月以来,它以政府机关,教育机构,医疗中心,银行和众多电信公司的IP地址为目标,并成功突破了500多个SSH服务器。

先进的恶意软件

用Golang编写的恶意软件似乎是高度专业的软件开发人员的工作:

  • It’s 无文件 –它在内存中组装和执行有效负载,在没有工作目录的情况下运行,并且在节点之间共享和交换文件时也使用无文件方法
  • 基于广泛的词典,它的暴力破解尝试是具有侵略性的
  • It’s efficient –网络中没有两个节点尝试“破解”同一台目标计算机
  • 它的P2P协议是专有协议,是从头开始编写的(即,不是基于现有的实现)
  • 它以SSH-RSA公钥的形式创建后门,并将其添加到 授权密钥 文件。使用私钥,攻击者可以在需要时随时访问威胁计算机,而无需知道SSH密码

允许恶意软件在雷达下飞行的其他因素:

  • It’的进程以名称运行 ifconfig, Nginx的 要么 可执行文件 (后者在Monero采矿时使用)
  • 通过在受感染的计算机上运行本地netcat客户端,它通过标准SSH端口建立P2P命令的通道。通过SSH发送的任何命令都将用作netcat的输入并传输给恶意软件

“即使采用这种新颖的命令发送方式,该过程仍将完全自动化,并处于恶意软件的控制之下。即使在为新感染的主机创建此P2P通道之后,该恶意软件仍会继续向受害者提供命令,” Harpaz noted.

“但是,很可能将人工操作的命令发送给网络对等方。 瓜迪科 Labs开发了一种拦截网络的工具,该工具能够按需发送和接收命令。该活动背后的参与者可以做完全相同的事情,而且操作员很有可能具有将命令手动发送到网络中某些(或所有)节点的手段。”

检查您的机器是否是僵尸网络的一部分

在运行SSH服务器的计算机上检测到cryptominer不能证明它’已被感染,因为该恶意软件会检查机器是否可以消耗大量的地雷,并决定是否可以’t.

管理员可以使用 检测脚本 搜索上述无文件进程,恶意软件在端口1234上侦听和在端口5555上的TCP流量(到Monero池的网络流量)的证据。

重新启动受影响的机器/设备会将恶意软件从内存中删除并终止恶意软件进程,因为受害者会立即‘logged’到P2P网络及其登录凭据,将立即被再次感染。

相反,管理员应:

  • 终止恶意进程
  • 将SSH密码更改为强密码并使用公共密钥身份验证
  • 从控制台中删除FritzFrog的公钥 授权密钥 归档到“close” the 后门
  • 考虑更换路由器’ and IoT devices’SSH端口,或者如果不需要该服务,则完全禁用对它们的SSH访问
分享这个