在低调之后,SSH 僵尸网络如雨后春笋,比以往任何时候都更难取缔。

FritzFrog 进行黑客攻击,在全球范围内收集超过 1,500 台机器。

两年前,研究人员偶然发现了互联网上最有趣的僵尸网络之一:一个以前未被发现的由 500 台服务器组成的网络,其中许多服务器位于世界各地的知名大学和企业中,无法通过正常的删除方法。 这些研究人员表示,在低调 16 个月后,被称为 FritzFrog 的僵尸网络又回来了,拥有新的功能和更大的受感染机器群。

SSH 服务器,小心

FritzFrog 几乎可以针对任何带有 SSH 或 安全外壳 、服务器(云实例、数据中心服务器、路由器等)的对象,并安装一个从头开始编写的异常先进的有效负载。 当安全公司 Guardicore Labs(现为 Akamai Labs)的研究人员 在 2020 年中期报告它时 ,他们称其为“下一代”僵尸网络,因为它具有全套功能和精心设计的设计。

它是一种分散的点对点架构,将管理分布在许多受感染的节点而不是中央服务器之间,因此很难使用传统方法检测或删除它。 它的一些高级特征包括:

  • 永远不会接触受感染服务器磁盘的内存中有效负载
  • 自 1 月以来至少有 20 个版本的软件二进制文件
  • 专注于感染 安全外壳 网络管理员用来管理机器
  • 后门受感染服务器的能力
  • 用于找出比以前见过的僵尸网络更“广泛”的弱登录密码的登录凭据组合列表

到 2020 年 8 月,FritzFrog 已将来自知名组织的约 500 台机器纳入其网络。 报告发布后,P2P 减少了新感染的数量。 从去年 12 月开始,Akamai 研究人员 周四报告说 ,僵尸网络的感染率增加了十倍,现在已经激增至 1,500 多台机器。

在低调之后,SSH 僵尸网络如雨后春笋,比以往任何时候都更难取缔。
Enlarge

高级软件每天更新​​以修复错误,并且在过去几个月中实施了新功能和更激进的感染方法。 它以最新形式感染的组织包括欧洲电视频道网络、***医疗设备制造商、东亚多所大学以及医疗保健、高等教育和政府领域的其他组织。

在低调之后,SSH 僵尸网络如雨后春笋,比以往任何时候都更难取缔。
Enlarge

FritzFrog 通过扫描 Internet 上的 SSH 服务器进行传播,当它找到一个时,它会尝试使用一系列凭据登录。 成功后,僵尸网络软件会安装专有恶意软件,使其成为庞大的无头 P2P 网络中的无人机。 每台服务器不断监听端口 1234 上的连接,同时通过端口 22 和 2222 扫描数千个 IP 地址。当遇到其他受感染的服务器时,服务器会相互交换数据,以确保它们都运行最新的恶意软件版本并拥有目标和受感染机器的最新数据库。

为了避开防火墙和端点保护软件,FritzFrog 通过 SSH 将命令传送到受感染机器上的 netcat 客户端。 Netcat 然后连接到托管在受感染机器上的“恶意软件服务器”,而不是中央服务器。

新的花里胡哨

最新版本可以使用 Tor 隐私网络代理传出 SSH 连接。 这个代理形成了一个节点网络,允许用户隐藏他们命令的来源并将它们隐藏在一个加密的隧道中。 命令从一个节点传递到另一个节点,直到它们到达目的地,这样每个节点只知道它的直接邻居。

“通过代理对本地端口 9050 的请求,FritzFrog 使用 Tor 代理链连接到拥有的 SSH 设备,”Akamai 研究人员在周四的报告中写道。 “自有设备会将传入请求视为来自代理链中的最后一个节点。 这可以用来隐藏当前受感染节点的地址。”

最新版本还使用 安全复制协议 将自身复制到远程受感染服务器,这与 2020 年使用 cat 命令 通过已建立的 SSH 连接删除和安装可执行文件的版本有所不同。 新的 SCP 功能是使用 公共库 用 Golang 编程语言编写的

之前找到的 30 个命令列表(用于运行脚本和下载数据库、日志或文件)也已扩展,以添加针对运行 WordPress 内容管理系统的站点的能力。 下面的反汇编代码显示了新命令 put wordpress,它将新条目添加到标题为“Wordpress”和“WordpressTargetsTTL”的列表中。

在低调之后,SSH 僵尸网络如雨后春笋,比以往任何时候都更难取缔。
Enlarge

在 Akamai 研究人员分析的最新版本中,实际上并未使用 Tor 代理和 WordPress 定位。 尽管如此,包含新功能表明 FritzFrog 正在由经验丰富的编码人员不断开发。

更新后的僵尸网络软件还包括一个新的阻止列表,以防止其感染具有低端资源的低端系统,例如 Raspberry Pi 设备或 AWS 上的低资源 EC2 映像。 有趣的是,由于尚不清楚的原因,该软件还包含两个奇怪的条目。 一个阻止马里兰大学的机器被感染。 下一秒——也许是对僵尸网络正被白帽监控的轻松确认——显示以下图像:

在低调之后,SSH 僵尸网络如雨后春笋,比以往任何时候都更难取缔。
Enlarge

寻找线索

研究人员不确定其来源,但在加密挖矿过程中发现的一个新钱包地址也被用于 Netlab 360 的研究人员称为 Mozi 的加密货币挖矿活动,该活动在 两年 半内感染了超过 150 万台设备-年期间。 ,该僵尸网络的运营商去年 9 月在中国被捕 据 The Record 报道 。

与中国的另一个可能联系是受感染机器在该国及其周边地区的大量集中。 大约 37% 的感染发生在中国大陆。

Akamai 研究人员写道:“这些证据虽然不是诅咒,但让我们相信可能与在中国开展业务的演员或伪装成中国人的演员存在联系。”

由于恶意软件不会在磁盘上存储任何文件,因此特别难以发现。 运行 SSH 服务器的人应该检查危害指标列表以检测其网络中的感染。 此外,SSH 服务器应始终受到强密码、双重身份验证和加密证书的保护。

声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/4863.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
白马号白马号

相关推荐

  • 2021年5月最新桌面IntelAMD对比CPU性能天梯图!

    2021年5月最新桌面Intel/AMD对比CPU性能天梯图! 什么是CPU天梯图? 最新桌面Intel/AMD CPU性能对比 如何根据天梯图选择适合自己的CPU? 什么是CPU天梯图? CPU天梯图是一个用于比较不同CPU性能的图表,它通常显示了当前市场上最流行的CPU型号,以及它们的性能排名。这个图表可以帮助消费者更好地了解不同CPU型号之间的差别,从…

    2023-06-19
    00
  • u盘装系统步骤图解win7有哪些?图解win7系统通过u盘安装的步骤

    U盘装系统步骤图解win7有哪些? 准备工作 下载win7系统镜像 制作启动盘 设置BIOS 安装win7系统 准备工作 在进行U盘装系统之前,需要先准备以下工作: 一台可以正常工作的电脑 一根容量大于4GB的U盘 一份win7系统镜像文件 下载win7系统镜像 首先需要从官方网站或其他合法渠道下载win7系统镜像文件,确保镜像文件的完整性和正确性。 制作启…

    2023-07-15
    00
  • 台式电脑显示器如何调节屏幕亮度(电脑在哪里调节亮度)

    电脑屏幕亮度怎么调?一个好的亮度会影响到视觉上的舒适度,视力上的健康度等,所以一个好的屏幕亮度和你的眼睛的好坏有着千丝万缕的关系,下面来看看亮度是怎么调的! 方法一 第1步:在电脑桌面任意空白处右键一下你的鼠标,然后点击“显示设置”; 第2步:然后在“亮度和颜色”下方的“更改内置显示器的亮度”这里,自由拉动你想调整的亮度数值条就OK了! 方法二第1步:点击电…

    2022-04-01 投稿
    00
  • 压缩包损坏怎么办?问题解答和解决方法

    压缩包损坏怎么办?问题解答和解决方法 介绍 可能的原因 解决方法 预防措施 介绍 压缩包是我们在日常生活和工作中经常用到的文件格式,它能够将多个文件或文件夹压缩成一个文件,方便传输和存储。但有时候我们在解压缩的时候会遇到压缩包损坏的情况,导致无法正常解压。本文将介绍可能的原因以及解决方法。 可能的原因 压缩包损坏的原因可能有以下几种: 文件本身出现问题:文件…

    2023-06-08
    00
  • Win10系统玩游戏出现蓝屏提示“win32kfull.sys”错误怎么解决?

    Win10系统玩游戏出现蓝屏提示“win32kfull.sys”错误怎么解决? 什么是“win32kfull.sys”错误? 为什么会出现“win32kfull.sys”错误? 如何解决“win32kfull.sys”错误? 什么是“win32kfull.sys”错误? “win32kfull.sys”错误是Windows 10系统中一个常见的蓝屏错误,通常…

    2023-08-30
    00

联系我们

QQ:183718318

在线咨询: QQ交谈

邮件:183718318@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信