网络安全研究人员今天公布了一个用Golang语言编写的复杂的多功能P2P僵尸网络,自2020年1月以来一直积极瞄准SSH服务器。根据GuardicoreLabs发布的一份报告,这个模块化、多线程和无文件的僵尸网络称为“FritzFrog”》迄今已入侵超过500台服务器,感染了美国和欧洲的知名大学和一家铁路公司。Guardicore的OphirHarpaz说:“凭借其去中心化的基础架构,它可以在所有节点之间分配控制权。”“在没有单点故障的网络中,节点不断地相互通信以保持网络的活力、弹性和最新。”除了实现从头开始编写的专有P2P协议外,通信是通过加密通道,恶意软件能够在受害者的系统上创建一个后门,允许攻击者继续访问。另一个基于GoLang的Linux后门,之前被发现通过暴力SSH登录以渗透到目标系统。P2P恶意软件但是,FritzFrog的独特之处在于它没有文件,这意味着它可以在内存中组装和执行有效载荷,并且在执行暴力攻击时更具侵略性,同时还能够在僵尸网络内均匀分布它们。目标以提高效率。一旦目标计算机已被识别,恶意软件会执行一系列任务,包括暴力破解、在成功入侵后用恶意负载感染计算机,以及将受害者添加到P2P网络。netcatssh恶意软件为了掩盖这一事实,该恶意软件以ifconfig和NGINX的形式运行,并开始侦听端口1234以接收进一步的执行命令,包括那些将受害者与网络对等点和暴力攻击目标的数据库同步的命令。命令本身通过一系列避免检测的环传递给恶意软件。僵尸网络中的攻击节点首先通过SSH锁定特定的受害者,然后使用NETCAT程序与远程服务器建立连接。此外,负载文件以BitTorrent方式在节点之间交换,采用分段文件传输方法发送数据块。“当节点A希望从其对等节点B接收文件时,它可以使用getblobstats命令查询节点B拥有的blob,”Harpaz说。“然后,节点A可以通过其哈希值获取特定的blob(通过P2P命令getbin或通过HTTP,使用URL‘https://node_IP:1234/blob_hash)。”当节点A有需要的blob时,它会使用一个名为Assemble的特殊模块来组装文件并运行它。“除了对命令响应进行加密和编码外,该恶意软件还运行一个名为“libexec”的单独进程,门罗币通过该进程通过向SSH公钥添加“authorized_keys”文件来留下后门,无需依赖登录身份验证自1月以来检测到13,000次攻击据网络安全公司称,该活动于1月9日开始,自首次出现以来,已经对20个不同版本的恶意软件二进制代码进行了13,000次攻击。机构,世界地图计算机病毒发现FritzFrog暴力破解属于政府组织、医疗中心、银行和电信公司的数百万个IP地址。GuardicoreLabs还提供了一个检测脚本,用于检查服务器是否已被FritzFrog感染并共享其他指标妥协(IoCs)。“弱密码是FritzFrog攻击的直接促成因素,”Harpaz结论德。我们建议选择强密码并使用公钥认证,这样更安全。路由器和物联网设备经常暴露SSH,因此容易受到FritzFrog的攻击——考虑更改它们的SSH端口,或者在不使用该服务时完全禁用SSH访问。
