在低调之后，SSH 僵尸网络如雨后春笋，比以往任何时候都更难取缔。

两年前，研究人员偶然发现了互联网上最有趣的僵尸网络之一：一个以前未被发现的由 500 台服务器组成的网络，其中许多服务器位于世界各地的知名大学和企业中，无法通过正常的删除方法。 这些研究人员表示，在低调 16 个月后，被称为 FritzFrog 的僵尸网络又回来了，拥有新的功能和更大的受感染机器群。

SSH 服务器，小心

FritzFrog 几乎可以针对任何带有 SSH 或 安全外壳 、服务器（云实例、数据中心服务器、路由器等）的对象，并安装一个从头开始编写的异常先进的有效负载。 当安全公司 Guardicore Labs（现为 Akamai Labs）的研究人员 在 2020 年中期报告它时 ，他们称其为“下一代”僵尸网络，因为它具有全套功能和精心设计的设计。

它是一种分散的点对点架构，将管理分布在许多受感染的节点而不是中央服务器之间，因此很难使用传统方法检测或删除它。 它的一些高级特征包括：

• 永远不会接触受感染服务器磁盘的内存中有效负载
• 自 1 月以来至少有 20 个版本的软件二进制文件
• 专注于感染 安全外壳 网络管理员用来管理机器
• 后门受感染服务器的能力
• 用于找出比以前见过的僵尸网络更“广泛”的弱登录密码的登录凭据组合列表

到 2020 年 8 月，FritzFrog 已将来自知名组织的约 500 台机器纳入其网络。 报告发布后，P2P 减少了新感染的数量。 从去年 12 月开始，Akamai 研究人员 周四报告说 ，僵尸网络的感染率增加了十倍，现在已经激增至 1,500 多台机器。

高级软件每天更新​​以修复错误，并且在过去几个月中实施了新功能和更激进的感染方法。 它以最新形式感染的组织包括欧洲电视频道网络、***医疗设备制造商、东亚多所大学以及医疗保健、高等教育和政府领域的其他组织。

FritzFrog 通过扫描 Internet 上的 SSH 服务器进行传播，当它找到一个时，它会尝试使用一系列凭据登录。 成功后，僵尸网络软件会安装专有恶意软件，使其成为庞大的无头 P2P 网络中的无人机。 每台服务器不断监听端口 1234 上的连接，同时通过端口 22 和 2222 扫描数千个 IP 地址。当遇到其他受感染的服务器时，服务器会相互交换数据，以确保它们都运行最新的恶意软件版本并拥有目标和受感染机器的最新数据库。

为了避开防火墙和端点保护软件，FritzFrog 通过 SSH 将命令传送到受感染机器上的 netcat 客户端。 Netcat 然后连接到托管在受感染机器上的“恶意软件服务器”，而不是中央服务器。

新的花里胡哨

最新版本可以使用 Tor 隐私网络代理传出 SSH 连接。 这个代理形成了一个节点网络，允许用户隐藏他们命令的来源并将它们隐藏在一个加密的隧道中。 命令从一个节点传递到另一个节点，直到它们到达目的地，这样每个节点只知道它的直接邻居。

“通过代理对本地端口 9050 的请求，FritzFrog 使用 Tor 代理链连接到拥有的 SSH 设备，”Akamai 研究人员在周四的报告中写道。 “自有设备会将传入请求视为来自代理链中的最后一个节点。 这可以用来隐藏当前受感染节点的地址。”

最新版本还使用 安全复制协议 将自身复制到远程受感染服务器，这与 2020 年使用 cat 命令 通过已建立的 SSH 连接删除和安装可执行文件的版本有所不同。 新的 SCP 功能是使用 公共库 用 Golang 编程语言编写的

之前找到的 30 个命令列表（用于运行脚本和下载数据库、日志或文件）也已扩展，以添加针对运行 WordPress 内容管理系统的站点的能力。 下面的反汇编代码显示了新命令 put wordpress，它将新条目添加到标题为“Wordpress”和“WordpressTargetsTTL”的列表中。

在 Akamai 研究人员分析的最新版本中，实际上并未使用 Tor 代理和 WordPress 定位。 尽管如此，包含新功能表明 FritzFrog 正在由经验丰富的编码人员不断开发。

更新后的僵尸网络软件还包括一个新的阻止列表，以防止其感染具有低端资源的低端系统，例如 Raspberry Pi 设备或 AWS 上的低资源 EC2 映像。 有趣的是，由于尚不清楚的原因，该软件还包含两个奇怪的条目。 一个阻止马里兰大学的机器被感染。 下一秒——也许是对僵尸网络正被白帽监控的轻松确认——显示以下图像：

寻找线索

研究人员不确定其来源，但在加密挖矿过程中发现的一个新钱包地址也被用于 Netlab 360 的研究人员称为 Mozi 的加密货币挖矿活动，该活动在 两年 半内感染了超过 150 万台设备-年期间。 ，该僵尸网络的运营商去年 9 月在中国被捕 据 The Record 报道 。

与中国的另一个可能联系是受感染机器在该国及其周边地区的大量集中。 大约 37% 的感染发生在中国大陆。

Akamai 研究人员写道：“这些证据虽然不是诅咒，但让我们相信可能与在中国开展业务的演员或伪装成中国人的演员存在联系。”

由于恶意软件不会在磁盘上存储任何文件，因此特别难以发现。 运行 SSH 服务器的人应该检查危害指标列表以检测其网络中的感染。 此外，SSH 服务器应始终受到强密码、双重身份验证和加密证书的保护。