近日, Guardicore实验室首席研究员Harpaz发现一种名为FritzFrog的无文件蠕虫,将运行SSH服务器的Linux设备(公司服务器、路由器和物联网设备)捆绑到P2P僵尸网络中,用于挖掘加密货币(门罗币),该僵尸网络的节点目前已遍布全球(北美、中国、韩国是重灾区):
与此同时,该恶意软件会在受感染的计算机上创建后门,即使更改了SSH密码,攻击者也可以通过后门访问。
Harpaz 指出:“查看代码后发现,与传统的P2P和蠕虫(’cracker’)模块相比,攻击者对获得访问漏洞服务器的兴趣更感兴趣,然后通过挖掘门罗币获利。”
对SSH服务器的访问和控制可能比传播挖矿软件赚的钱多得多。此外,FritzFrog可能是一种P2P基础设施即服务。由于该僵尸程序足够强大,可以在受害机器上运行任何可执行文件或脚本,因此该僵尸程序可以在暗网中出租,可以满足其任何恶意愿望。
蠕虫的目标
FritzFrog是一种模块化,多线程,无文件的SSH Internet蠕虫,它试图通过破坏公共IP地址来发展P2P僵尸网络,而忽略了为私有地址保存的已知范围。
“在拦截FritzFrog P2P网络时,我们已经看到由顺序IP地址组成的目标列表,从而对互联网中的IP范围进行了非常系统的扫描,” Harpaz解释说。
自2020年1月以来,该僵尸网络以政府机关、教育机构、医疗中心、银行和众多电信公司的IP地址为目标,并成功突破了500多个SSH服务器。
技术非常先进
FritzFrog是用Golang编写的恶意软件,技术含量很高,似乎是高度专业的软件开发人员的作品,主要特点如下:
FritzFrog难以被侦测的主要原因:
“除了采用新颖的命令发送方式,该过程还实现了完全自动化并在恶意软件的控制下。即使在为新感染的主机创建了P2P通道之后,该恶意软件仍会继续向受害者发送命令。” Harpaz指出。
Guardicore Labs开发了一种拦截该僵尸网络发送和接受命令的工具。但僵尸网络的运营者也可以做完全相同的事情,而且操作员很有可能具有将命令手动发送到网络中某些(或所有)节点的手段。”
检查您的设备是否成了僵尸网络的一部分
在SSH服务器上检测到一个挖矿软件并不能证明它已被感染,因为该恶意软件会检查该计算机是否具备挖矿的额外计算资源,进而决定是否启动挖矿。
管理员可以使用检测脚本(https://github.com/guardicore/labs_campaigns/blob/master/FritzFrog/detect_fritzfrog.sh)来搜索上述无文件进程,恶意软件在端口1234和5555上侦听TCP流量(到Monero池的网络流量)的证据。
重新启动受影响的机器/设备会从内存中删除恶意软件并终止恶意软件进程,但由于受害者会立即“被登录”到P2P网络,因此它将立即被再次感染。
缓解措施: