在低调之后,SSH 僵尸网络如雨后春笋,比以往任何时候都更难取缔。

FritzFrog 进行黑客攻击,在全球范围内收集超过 1,500 台机器。

两年前,研究人员偶然发现了互联网上最有趣的僵尸网络之一:一个以前未被发现的由 500 台服务器组成的网络,其中许多服务器位于世界各地的知名大学和企业中,无法通过正常的删除方法。 这些研究人员表示,在低调 16 个月后,被称为 FritzFrog 的僵尸网络又回来了,拥有新的功能和更大的受感染机器群。

SSH 服务器,小心

FritzFrog 几乎可以针对任何带有 SSH 或 安全外壳 、服务器(云实例、数据中心服务器、路由器等)的对象,并安装一个从头开始编写的异常先进的有效负载。 当安全公司 Guardicore Labs(现为 Akamai Labs)的研究人员 在 2020 年中期报告它时 ,他们称其为“下一代”僵尸网络,因为它具有全套功能和精心设计的设计。

它是一种分散的点对点架构,将管理分布在许多受感染的节点而不是中央服务器之间,因此很难使用传统方法检测或删除它。 它的一些高级特征包括:

  • 永远不会接触受感染服务器磁盘的内存中有效负载
  • 自 1 月以来至少有 20 个版本的软件二进制文件
  • 专注于感染 安全外壳 网络管理员用来管理机器
  • 后门受感染服务器的能力
  • 用于找出比以前见过的僵尸网络更“广泛”的弱登录密码的登录凭据组合列表

到 2020 年 8 月,FritzFrog 已将来自知名组织的约 500 台机器纳入其网络。 报告发布后,P2P 减少了新感染的数量。 从去年 12 月开始,Akamai 研究人员 周四报告说 ,僵尸网络的感染率增加了十倍,现在已经激增至 1,500 多台机器。

在低调之后,SSH 僵尸网络如雨后春笋,比以往任何时候都更难取缔。
Enlarge

高级软件每天更新​​以修复错误,并且在过去几个月中实施了新功能和更激进的感染方法。 它以最新形式感染的组织包括欧洲电视频道网络、***医疗设备制造商、东亚多所大学以及医疗保健、高等教育和政府领域的其他组织。

在低调之后,SSH 僵尸网络如雨后春笋,比以往任何时候都更难取缔。
Enlarge

FritzFrog 通过扫描 Internet 上的 SSH 服务器进行传播,当它找到一个时,它会尝试使用一系列凭据登录。 成功后,僵尸网络软件会安装专有恶意软件,使其成为庞大的无头 P2P 网络中的无人机。 每台服务器不断监听端口 1234 上的连接,同时通过端口 22 和 2222 扫描数千个 IP 地址。当遇到其他受感染的服务器时,服务器会相互交换数据,以确保它们都运行最新的恶意软件版本并拥有目标和受感染机器的最新数据库。

为了避开防火墙和端点保护软件,FritzFrog 通过 SSH 将命令传送到受感染机器上的 netcat 客户端。 Netcat 然后连接到托管在受感染机器上的“恶意软件服务器”,而不是中央服务器。

新的花里胡哨

最新版本可以使用 Tor 隐私网络代理传出 SSH 连接。 这个代理形成了一个节点网络,允许用户隐藏他们命令的来源并将它们隐藏在一个加密的隧道中。 命令从一个节点传递到另一个节点,直到它们到达目的地,这样每个节点只知道它的直接邻居。

“通过代理对本地端口 9050 的请求,FritzFrog 使用 Tor 代理链连接到拥有的 SSH 设备,”Akamai 研究人员在周四的报告中写道。 “自有设备会将传入请求视为来自代理链中的最后一个节点。 这可以用来隐藏当前受感染节点的地址。”

最新版本还使用 安全复制协议 将自身复制到远程受感染服务器,这与 2020 年使用 cat 命令 通过已建立的 SSH 连接删除和安装可执行文件的版本有所不同。 新的 SCP 功能是使用 公共库 用 Golang 编程语言编写的

之前找到的 30 个命令列表(用于运行脚本和下载数据库、日志或文件)也已扩展,以添加针对运行 WordPress 内容管理系统的站点的能力。 下面的反汇编代码显示了新命令 put wordpress,它将新条目添加到标题为“Wordpress”和“WordpressTargetsTTL”的列表中。

在低调之后,SSH 僵尸网络如雨后春笋,比以往任何时候都更难取缔。
Enlarge

在 Akamai 研究人员分析的最新版本中,实际上并未使用 Tor 代理和 WordPress 定位。 尽管如此,包含新功能表明 FritzFrog 正在由经验丰富的编码人员不断开发。

更新后的僵尸网络软件还包括一个新的阻止列表,以防止其感染具有低端资源的低端系统,例如 Raspberry Pi 设备或 AWS 上的低资源 EC2 映像。 有趣的是,由于尚不清楚的原因,该软件还包含两个奇怪的条目。 一个阻止马里兰大学的机器被感染。 下一秒——也许是对僵尸网络正被白帽监控的轻松确认——显示以下图像:

在低调之后,SSH 僵尸网络如雨后春笋,比以往任何时候都更难取缔。
Enlarge

寻找线索

研究人员不确定其来源,但在加密挖矿过程中发现的一个新钱包地址也被用于 Netlab 360 的研究人员称为 Mozi 的加密货币挖矿活动,该活动在 两年 半内感染了超过 150 万台设备-年期间。 ,该僵尸网络的运营商去年 9 月在中国被捕 据 The Record 报道 。

与中国的另一个可能联系是受感染机器在该国及其周边地区的大量集中。 大约 37% 的感染发生在中国大陆。

Akamai 研究人员写道:“这些证据虽然不是诅咒,但让我们相信可能与在中国开展业务的演员或伪装成中国人的演员存在联系。”

由于恶意软件不会在磁盘上存储任何文件,因此特别难以发现。 运行 SSH 服务器的人应该检查危害指标列表以检测其网络中的感染。 此外,SSH 服务器应始终受到强密码、双重身份验证和加密证书的保护。

声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/4863.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
白马号白马号

相关推荐

  • 电脑耳机推荐100左右(五款销量破十万的学生党百元耳机)

    如今TWS耳机已经不再是新奇的东西,随着制造业和技术的发展,TWS耳机的价格已经非常低了,之前大几百才能买到TWS耳机,现在9.9包邮的一大堆,但又有很多山寨耳机打着TWS耳机的口号,但实际并不是TWS耳机,接下来就盘点五款销量破十万的TWS耳机,而且都是学生党的价位,总有一款会适合你。 第一款QCY T17 推荐指数:五颗星 说到性价比耳机,一定绕不开QC…

    2022-07-22 投稿
    00
  • steam错误代码103怎么回事(windows10真正解决方法)

    最近小编的评论区一直有人在问steam错误代码的问题啊,没错小编这几天也是被什么101、103所困扰,好多steam资源都看不了。我也看到了许多同行也发过类似文章,但好像还有问题的人大有人在,今天小编去了人均博士后的贴吧研究院,找到了一个许多文章没写明白的地方。 先看看要什么软件吧 UsbEAm+Hosts+Editor+v3.2.zip 这是小编使用的软件…

    2022-04-29 投稿
    00
  • Win10系统鼠标突然没反应怎么办?Wi10系统鼠标突然没反应解决方法

    Win10系统鼠标突然没反应怎么办?Wi10系统鼠标突然没反应解决方法 可能的原因 解决方法 预防措施 可能的原因 当鼠标突然没有反应时,可能是以下原因导致: 鼠标驱动程序出现问题 鼠标线路连接不良 鼠标本身损坏 系统出现故障 解决方法 以下是解决鼠标无法响应的方法: 检查鼠标是否连接正常:检查鼠标的线路连接是否良好,如果不好,请重新连接鼠标。 更换鼠标:如…

    2023-08-31
    00
  • Win10如何设置成最佳性能?Win10设置成最佳性能的方法

    Win10如何设置成最佳性能? 电源设置 视觉效果设置 服务设置 硬盘优化 电源设置 将电脑的电源设置为“高性能”,可以提高电脑的性能表现。 步骤1:右键点击桌面上的电源图标,选择“电源选项” 步骤2:点击“高级电源设置” 步骤3:将“电源计划”设置为“高性能” 视觉效果设置 关闭一些视觉效果可以减轻系统负担,提升性能。 步骤1:右键点击“此电脑”,选择“属…

    2023-07-30
    00
  • Win10安装失败无限重启如何修复?Win10安装失败无限重启修复方法分享

    Win10安装失败无限重启如何修复?Win10安装失败无限重启修复方法分享 Win10安装失败无限重启的原因 Win10安装失败无限重启的解决方法 总结 Win10安装失败无限重启的原因 Win10安装失败无限重启是一种比较常见的现象,通常是由以下原因造成的: 硬件问题:如硬盘、内存、CPU、显卡等硬件故障。 软件问题:如Win10安装文件损坏、驱动不兼容、…

    2023-08-01
    00

联系我们

QQ:183718318

在线咨询: QQ交谈

邮件:183718318@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信