针对全球SSH服务器的新型无文件P2P僵尸网络恶意软件

Cybersecurity researchers today took the wraps off a sophisticated, multi-functional peer-to-peer (P2P) botnet written in Golang that has been actively targeting SSH servers since January 2020.

“叫”弗里茨弗洛格“Guardicore实验室今天发布的一份报告显示，这种模块化、多线程、无文件的僵尸网络迄今已入侵500多台服务器，感染了美国和欧洲的知名大学以及一家铁路公司。

Guardicore的Ophir Harpaz说：“通过分散的基础设施，它可以在所有节点之间分配控制权。”。“在这个没有单点故障的网络中，对等方不断地相互通信，以保持网络的活力、弹性和最新。”

除了实现一个从零开始编写的专有P2P协议外，通信通过加密通道完成，恶意软件能够在受害者系统上创建后门，允许攻击者继续访问。

无文件P2P僵尸网络

尽管之前已经观察到基于GoLang的僵尸网络，例如Gandalf和GoBrut，但FritzFrog似乎与Rakos有一些相似之处，Rakos是另一个基于GoLang的Linux后门，之前被发现通过SSH登录的暴力尝试渗透目标系统。


但FritzFrog的独特之处在于它是无文件的，这意味着它在内存中组装和执行有效负载，在执行蛮力攻击时更具攻击性，同时通过在僵尸网络中均匀分布目标来提高效率。

一旦识别出目标机器，恶意软件就会执行一系列任务，包括暴力强迫、成功入侵后用恶意有效载荷感染机器，以及将受害者添加到P2P网络。


为了躲避监视，该恶意软件以ifconfig和NGINX的形式运行，并开始监听端口1234以接收进一步的执行命令，包括将受害者与网络对等方和暴力目标数据库同步的命令。

这些命令本身通过一系列旨在避免被发现的环传送到恶意软件。僵尸网络中的攻击者节点首先通过SSH锁定特定的受害者，然后使用NETCAT实用程序与远程服务器建立连接。

此外，负载文件以BitTorrent方式在节点之间交换，采用分段文件传输方法发送数据块。

哈帕兹说：“当节点a希望从对等节点B接收文件时，它可以使用命令getblobstats查询节点B拥有哪些Blob。”。“然后，节点A可以通过其散列获取特定的blob，可以通过P2P命令getbin，也可以通过HTTP，使用URL地址”https://node_IP:1234/blob_hash.'当节点A拥有所有需要的blob时，它会使用一个名为Assembly的特殊模块来组装文件并运行它。"


除了对命令响应进行加密和编码外，该恶意软件还运行一个名为“libexec”的单独进程来挖掘Monero硬币，并通过向SSH的“authorized_keys”文件中添加公钥为受害者留下一个后门，以便登录时无需再次依赖密码即可进行身份验证。

自1月份以来，发现了1.3万起袭击事件

据这家网络安全公司称，该活动于1月9日开始，自该恶意软件首次出现以来，已累计发起13000次攻击，攻击范围跨越20个不同版本的二进制软件。


除了针对教育机构外，FritzFrog还被发现对政府机构、医疗中心、银行和电信公司的数百万IP地址进行暴力攻击。

Guardicore实验室还提供了一个检测脚本，用于检查服务器是否感染了FritzFrog，并分享了其他危害指标（IOC）。

“脆弱的密码是弗里茨夫罗格攻击的直接诱因，”哈帕兹总结道。“我们建议选择强密码和使用公钥认证，这是更安全的。路由器和IOT设备经常暴露SSH，因此易受FrutZ辙t和Syx 8212的影响；如果服务不在使用中，考虑更改SSH端口或完全禁用SSH访问它们。”