FritzFrog疯狂扩张,近40%的受害者在中国FritzFrog疯狂扩张,近40%的受害者在中国控制网络上的机器。典型特征FritzFrog主要通过SSH爆破传播,爆破成功后部署恶意软件。恶意软件侦听受感染主机上的端口并等待命令。支持的命令如下:命令列表研究人员认为FritzFrog是一个“下一代”僵尸网络,具有以下特点:持续更新,既是被攻陷的主机,又是攻击性很强的C&C服务器,使用的字典非常强大,以及其他P2PDDG等僵尸网络只使用root作为用户名,效率很高,而且攻击目标均匀分布在节点之间。在2009年8月FritzFrog被披露后不久,攻击的强度就下降了。但在2021年12月上旬,遥测数据显示其攻击数量惊人地增加。攻击次数FritzFrog从SSH暴力破解开始,在删除可执行文件后监听1234端口,并扫描22和2222端口。这轮攻击与之前攻击的区别之一是恶意进程的名称。之前都是用ifconfig或者nginx,这次用的是apache2。受害者分析研究人员开发了一种名为Frogger的工具,它利用僵尸网络基础设施来收集有关受感染主机的信息。攻击节点数通过发现攻击计算机IP地址和Frogger提供的信息收集受害者IP地址。在此期间,FritzFrog成功感染了1,500多台计算机。这些设备属于各种组织和行业,例如医疗保健、教育和政府。在欧洲电视频道网络、俄罗斯医疗设备制造商和东亚的多所大学中发现了受感染的主机。受损的主机分布新功能FritzFrog是用Golang编写的,可在多种架构上运行。通过UPX打包,进程通常命名为ifconfig、nginx、apache2或php-fpm。FritzFrog每天都更新,有时甚至一天更新多次,有时修复错误,有时添加功能。WordPressFritzFrog通过名为Wordpress和WordpressTargetsTTL的列表实现对WordPress服务器基础设施的跟踪。对应的P2P命令是putwordpress,代码如下:截至部分代码发布,列表还是空的。FritzFrog实际上并不包含识别WordPress目标的模块,研究人员认为该模块正在为新版本做准备,以应对信息泄露或勒索软件等问题。TorFritzFrog可以使用Tor代理通过本地端口9050转发SSH连接,使FritzFrog能够通过SSH控制受感染的主机。受感染的主机只能发现直接连接的邻居节点以隐藏其他受感染的主机。但是该功能虽然存在,但未启用。在SCP初期,FritzFrog使用cat命令部署恶意样本。FritzFrog现在使用SCP进行远程复制。攻击者使用了用开源Golang编写的SCP库。两者应该区别不大,不过SCP库的作者是中国人。BlacklistFritzFrog有一个预制的禁止攻击列表,攻击者也可以稍后通过P2P命令putbleentry动态插入。[{"Address":"","Uname_match":"[redacted]dddz.me3.10.0-693.2.2.el7.x86_64#1SMPTueSep1222:26:13UTC2017"},{"Address":"","Uname_match":"[redacted]-14.4.0-151-generic#178-UbuntuSMPTueJun1108:30:22UTC2019"},{"Address":"","Uname_match":"[redacted].amzn2.x86_64#1SMPMonJun1822:33:07UTC2018x86_64GNU/Linux"},{"Address":"","Uname_match":"[redacted]-generic#113-UbuntuSMPThuJul923:41:39UTC2020"},{"Address":"","Uname_match":"[redacted]raspberrypi4.4.32-v7+#924SMPTueNov1518:11:28GMT2016armv7lGNU/Linux"},{"Address":"","Uname_match":[redacted]3.10.0-123.4.4.el7.x86_64#1SMPFriJul2505:07:12UTC2014x86_64x86_64x86_64GNU/Linux"},{"Address":"","Uname_match":[redacted]4.18.0-193.28.1.el8_2.x86_64#1SMPThuOct2200:20:22UTC2020x86_64x86_64x86_64GNU/Linux"},{"Address":"[redacted].24:22","Uname_match":""},{"Address":"[redacted].88:22","Uname_match":""},{“地址”:“[redacted].26:22","Uname_match":""}]攻击者试图避免感染RaspberryPi等低端设备或AWS上的EC2主机列表一个来自俄罗斯的IP地址,其中一个打开了一系列端口和各种漏洞,很可能是蜜罐,另一个IP地址指向一个开源僵尸网络水坑。这表明攻击者正在积极逃避检测和分析。两个IP地址位于美国,一个在马里兰大学,另一个浏览时会提示“CuriosityKilledtheCat”。CuriosityKilledtheCat归属地新版本使用了用Golang编写的scp库,仓库持有者位置在上海,作者之一也在上海。FritzFrog的钱包地址:(47BD6QNfkWf8ZMQSdqp2tY1AdG8ofsEPf4mcDp1YB4AX32hUjoLjuDaNrYzXk7cQcoPBzAuQrmQTgNgpo6XPqSBLnfsjaV)和矿池也与Mozi僵尸网络活动有关,而Mozi主机最近在中国被捕获,大约37%的攻击至今一直在中国。也很频繁,攻击者很可能会说中文或者假装与中国有关。检测工具Akamai提供了FritzFrog检测脚本,如下图:工具截图参考来源:Akamai
