在低调之后,SSH 僵尸网络如雨后春笋,比以往任何时候都更难取缔。

FritzFrog 进行黑客攻击,在全球范围内收集超过 1,500 台机器。

两年前,研究人员偶然发现了互联网上最有趣的僵尸网络之一:一个以前未被发现的由 500 台服务器组成的网络,其中许多服务器位于世界各地的知名大学和企业中,无法通过正常的删除方法。 这些研究人员表示,在低调 16 个月后,被称为 FritzFrog 的僵尸网络又回来了,拥有新的功能和更大的受感染机器群。

SSH 服务器,小心

FritzFrog 几乎可以针对任何带有 SSH 或 安全外壳 、服务器(云实例、数据中心服务器、路由器等)的对象,并安装一个从头开始编写的异常先进的有效负载。 当安全公司 Guardicore Labs(现为 Akamai Labs)的研究人员 在 2020 年中期报告它时 ,他们称其为“下一代”僵尸网络,因为它具有全套功能和精心设计的设计。

它是一种分散的点对点架构,将管理分布在许多受感染的节点而不是中央服务器之间,因此很难使用传统方法检测或删除它。 它的一些高级特征包括:

  • 永远不会接触受感染服务器磁盘的内存中有效负载
  • 自 1 月以来至少有 20 个版本的软件二进制文件
  • 专注于感染 安全外壳 网络管理员用来管理机器
  • 后门受感染服务器的能力
  • 用于找出比以前见过的僵尸网络更“广泛”的弱登录密码的登录凭据组合列表

到 2020 年 8 月,FritzFrog 已将来自知名组织的约 500 台机器纳入其网络。 报告发布后,P2P 减少了新感染的数量。 从去年 12 月开始,Akamai 研究人员 周四报告说 ,僵尸网络的感染率增加了十倍,现在已经激增至 1,500 多台机器。

在低调之后,SSH 僵尸网络如雨后春笋,比以往任何时候都更难取缔。
Enlarge

高级软件每天更新​​以修复错误,并且在过去几个月中实施了新功能和更激进的感染方法。 它以最新形式感染的组织包括欧洲电视频道网络、***医疗设备制造商、东亚多所大学以及医疗保健、高等教育和政府领域的其他组织。

在低调之后,SSH 僵尸网络如雨后春笋,比以往任何时候都更难取缔。
Enlarge

FritzFrog 通过扫描 Internet 上的 SSH 服务器进行传播,当它找到一个时,它会尝试使用一系列凭据登录。 成功后,僵尸网络软件会安装专有恶意软件,使其成为庞大的无头 P2P 网络中的无人机。 每台服务器不断监听端口 1234 上的连接,同时通过端口 22 和 2222 扫描数千个 IP 地址。当遇到其他受感染的服务器时,服务器会相互交换数据,以确保它们都运行最新的恶意软件版本并拥有目标和受感染机器的最新数据库。

为了避开防火墙和端点保护软件,FritzFrog 通过 SSH 将命令传送到受感染机器上的 netcat 客户端。 Netcat 然后连接到托管在受感染机器上的“恶意软件服务器”,而不是中央服务器。

新的花里胡哨

最新版本可以使用 Tor 隐私网络代理传出 SSH 连接。 这个代理形成了一个节点网络,允许用户隐藏他们命令的来源并将它们隐藏在一个加密的隧道中。 命令从一个节点传递到另一个节点,直到它们到达目的地,这样每个节点只知道它的直接邻居。

“通过代理对本地端口 9050 的请求,FritzFrog 使用 Tor 代理链连接到拥有的 SSH 设备,”Akamai 研究人员在周四的报告中写道。 “自有设备会将传入请求视为来自代理链中的最后一个节点。 这可以用来隐藏当前受感染节点的地址。”

最新版本还使用 安全复制协议 将自身复制到远程受感染服务器,这与 2020 年使用 cat 命令 通过已建立的 SSH 连接删除和安装可执行文件的版本有所不同。 新的 SCP 功能是使用 公共库 用 Golang 编程语言编写的

之前找到的 30 个命令列表(用于运行脚本和下载数据库、日志或文件)也已扩展,以添加针对运行 WordPress 内容管理系统的站点的能力。 下面的反汇编代码显示了新命令 put wordpress,它将新条目添加到标题为“Wordpress”和“WordpressTargetsTTL”的列表中。

在低调之后,SSH 僵尸网络如雨后春笋,比以往任何时候都更难取缔。
Enlarge

在 Akamai 研究人员分析的最新版本中,实际上并未使用 Tor 代理和 WordPress 定位。 尽管如此,包含新功能表明 FritzFrog 正在由经验丰富的编码人员不断开发。

更新后的僵尸网络软件还包括一个新的阻止列表,以防止其感染具有低端资源的低端系统,例如 Raspberry Pi 设备或 AWS 上的低资源 EC2 映像。 有趣的是,由于尚不清楚的原因,该软件还包含两个奇怪的条目。 一个阻止马里兰大学的机器被感染。 下一秒——也许是对僵尸网络正被白帽监控的轻松确认——显示以下图像:

在低调之后,SSH 僵尸网络如雨后春笋,比以往任何时候都更难取缔。
Enlarge

寻找线索

研究人员不确定其来源,但在加密挖矿过程中发现的一个新钱包地址也被用于 Netlab 360 的研究人员称为 Mozi 的加密货币挖矿活动,该活动在 两年 半内感染了超过 150 万台设备-年期间。 ,该僵尸网络的运营商去年 9 月在中国被捕 据 The Record 报道 。

与中国的另一个可能联系是受感染机器在该国及其周边地区的大量集中。 大约 37% 的感染发生在中国大陆。

Akamai 研究人员写道:“这些证据虽然不是诅咒,但让我们相信可能与在中国开展业务的演员或伪装成中国人的演员存在联系。”

由于恶意软件不会在磁盘上存储任何文件,因此特别难以发现。 运行 SSH 服务器的人应该检查危害指标列表以检测其网络中的感染。 此外,SSH 服务器应始终受到强密码、双重身份验证和加密证书的保护。

声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/4863.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
白马号白马号

相关推荐

  • 哪个Win7系统比较好(选择较好的Win7系统)

    本文将探讨哪个Win7系统比较好,介绍不同版本的特点和适用场景,帮助读者选择最适合自己的Win7系统。 大纲 Win7家庭普通版 Win7家庭高级版 Win7专业版 Win7旗舰版 Win7家庭普通版 Win7家庭普通版是Win7中最基础的版本,适合家庭用户使用。该版本的特点是价格便宜,对硬件配置要求低,但功能比较简单,不支持Windows Media Ce…

    2023-05-21
    00
  • 剪映的水印怎么去掉(超实用的去水印操作步骤)

    很多朋友在视频剪辑时,因为需要去除原来视频上的水印,但又不知道该如何操作,本期文章以剪映Windows 版本为例,教大家如何使用剪映“去除”视频的水印。 要知道剪映软件本身是不具备“去除”水印功能的,但我们可以通过“剪辑”的方式,将视频带有水印的部分减除掉,接下来说方法和步骤。 一、导入视频素材 打开剪映软件,点击左上角的“导入素材”。如下图: 导入素材以后…

    2022-04-29 投稿
    00
  • 下载Windows 7中文版操作系统(获取Windows 7的中文版本)

    下载Windows 7中文版操作系统 Windows 7中文版操作系统的重要性 如何下载Windows 7中文版操作系统 如何安装Windows 7中文版操作系统 Windows 7中文版操作系统的重要性 Windows 7是Microsoft公司推出的一款操作系统,它在发布后迅速获得了用户的青睐。Windows 7中文版操作系统不仅具备Windows 7的…

    2023-05-31
    00
  • Win10截图的保存位置在什么哪里?Win10截图的保存位置介绍

    Win10截图的保存位置介绍 Win10截图的保存位置是什么? 如何更改Win10截图的保存位置? Win10截图的保存位置是什么? 在Win10中,截图默认保存在“图片”文件夹中的“截图”子文件夹中。 具体的保存路径为: C:\\Users\\用户名\\Pictures\\Screenshots 其中,“用户名”是你的Windows用户账户名称。 截图文件…

    2023-08-08
    00
  • 自制平板电脑支架(手把手教你制作简易的平板支架)

    突发奇想的想用某种东西放平板,解放一下双手,无奈找了半天没有合适的,原先的可以当 支架的保护套被我扔了。看见快递没有扔掉的盒子,想起以前买的胶枪,果断自己做一个! 材料:快递盒(带盖子的烟盒),胶枪(双面胶/订书机),小刀,尺子,笔 以下图片皆手机拍摄,桌面比较乱,勿怪!能看到如何做的就好!未装饰,临时用,快捷方便!

    2022-12-09 投稿
    00

联系我们

QQ:183718318

在线咨询: QQ交谈

邮件:183718318@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信