網(wǎng)絡(luò)安全研究人員今天揭開了一個(gè)復(fù)雜的、多功能的P2P僵尸網(wǎng)絡(luò)的面紗，它是用Golang語言編寫，自2020年1月以來一直積極地針對(duì)SSH服務(wù)器。

根據(jù)Guardicore實(shí)驗(yàn)室發(fā)布一份報(bào)告，這個(gè)被稱為“FritzFrog”的模塊化、多線程和無文件的僵尸網(wǎng)絡(luò)迄今已經(jīng)侵入了500多臺(tái)服務(wù)器，感染了美國(guó)和歐洲的知名大學(xué)和一家鐵路公司。Guardicore的Ophir Harpaz說：

“憑借其分散的基礎(chǔ)架構(gòu)，它可以在所有節(jié)點(diǎn)之間分配控制權(quán)。” “在沒有單一故障點(diǎn)的網(wǎng)絡(luò)中，節(jié)點(diǎn)之間不斷地相互通信，以保持網(wǎng)絡(luò)的生命力，彈性和最新性。”

除了實(shí)現(xiàn)一個(gè)從頭編寫的專有P2P協(xié)議之外，通信是通過一個(gè)加密通道完成的，而惡意軟件能夠在受害者系統(tǒng)上創(chuàng)建后門，允許攻擊者繼續(xù)訪問。

無文件的P2P僵尸網(wǎng)絡(luò)

雖然之前已經(jīng)發(fā)現(xiàn)過基于GoLang的僵尸網(wǎng)絡(luò)，如Gandalf和GoBrut，但FritzFrog似乎與Rakos有一些相似之處，Rakos是另一個(gè)基于GoLang的Linux后門，之前被發(fā)現(xiàn)通過強(qiáng)力SSH登錄來滲透目標(biāo)系統(tǒng)。

P2P的惡意軟件

但是，令FritzFrog獨(dú)樹一幟的是它沒有文件，這意味著它可以在內(nèi)存中組裝和執(zhí)行有效載荷，并且在執(zhí)行暴力攻擊時(shí)更具攻擊性，同時(shí)還可以通過在僵尸網(wǎng)絡(luò)內(nèi)平均分配目標(biāo)來提高效率。

一旦確定了目標(biāo)計(jì)算機(jī)，該惡意軟件將執(zhí)行一系列任務(wù)，包括對(duì)其進(jìn)行暴力破解，在成功突破后用惡意有效載荷感染計(jì)算機(jī)，并將受害者添加到P2P網(wǎng)絡(luò)。

netcat ssh惡意軟件

為了掩蓋事實(shí)，該惡意軟件以ifconfig和NGINX的身份運(yùn)行，并開始偵聽端口1234，以接收進(jìn)一步的執(zhí)行命令，包括那些將受害者與網(wǎng)絡(luò)對(duì)等點(diǎn)和暴力目標(biāo)的數(shù)據(jù)庫(kù)同步的命令。

命令本身通過一系列避免被發(fā)現(xiàn)的圓環(huán)傳送給惡意軟件。僵尸網(wǎng)絡(luò)中的攻擊節(jié)點(diǎn)首先通過SSH鎖定一個(gè)特定的受害者，然后使用NETCAT程序與遠(yuǎn)程服務(wù)器建立連接。

此外，有效載荷文件以BitTorrent樣式在節(jié)點(diǎn)之間交換，采用分段文件傳輸方法來發(fā)送數(shù)據(jù)塊。

“當(dāng)節(jié)點(diǎn)A希望從其對(duì)等節(jié)點(diǎn)B接收文件時(shí)，它可以使用getblobstats命令查詢節(jié)點(diǎn)B所擁有的Blob，” Harpaz說。

“然后，節(jié)點(diǎn)A可以通過它的散列（通過P2P命令getbin或通過HTTP，使用URL‘https：// node_IP：1234 / blob_hash）獲得特定的blob?！?當(dāng)節(jié)點(diǎn)A有必需的Blob時(shí)，它將使用名為Assemble的特殊模塊來組裝文件并運(yùn)行它。”

除了加密和編碼命令響應(yīng)，惡意軟件運(yùn)行一個(gè)單獨(dú)的進(jìn)程，名叫“l(fā)ibexec”，Monero硬幣通過留下后門的方式是通過添加一個(gè)“authorized_keys文件的公鑰SSH的以便登錄身份驗(yàn)證，無需再次依賴密碼即可進(jìn)行身份驗(yàn)證。

自一月以來發(fā)現(xiàn)13，000次攻擊

據(jù)網(wǎng)絡(luò)安全公司稱，該活動(dòng)于1月9日開始，自首次出現(xiàn)以來，跨越20種不同版本的惡意軟件二進(jìn)制代碼的攻擊累計(jì)達(dá)到1.3萬次。

除了針對(duì)教育機(jī)構(gòu)以外，還發(fā)現(xiàn)FritzFrog暴力破解了屬于政府組織，醫(yī)療中心，銀行和電信公司的數(shù)百萬個(gè)IP地址。

Guardicore Labs還提供了一個(gè)檢測(cè)腳本，用于檢查服務(wù)器是否已被FritzFrog感染，并共享其他泄露指標(biāo)（IoC）。

“弱密碼是促成FritzFrog攻擊的直接推動(dòng)者，”Harpaz總結(jié)道。我們建議選擇強(qiáng)密碼，并使用公鑰認(rèn)證，這樣更安全。

路由器和物聯(lián)網(wǎng)設(shè)備經(jīng)常暴露SSH，因此容易受到FritzFrog的攻擊——考慮改變它們的SSH端口，或者在服務(wù)不使用時(shí)完全禁用SSH訪問。