面对全球SSH服务器的新型无文件P2P僵尸网络悄然入侵
发布时间:2022-07-29 10:12:20 所属栏目:安全 来源:互联网
导读:根据Guardicore实验室发布一份报告,这个被称为FritzFrog的模块化、多线程和无文件的僵尸网络迄今已经侵入了500多台服务器,感染了美国和欧洲的知名大学和一家铁路公司。Guardicore的Ophir Harpaz说: 凭借其分散的基础架构,它可以在所有节点之间分配控制权
|
根据Guardicore实验室发布一份报告,这个被称为“FritzFrog”的模块化、多线程和无文件的僵尸网络迄今已经侵入了500多台服务器,感染了美国和欧洲的知名大学和一家铁路公司。Guardicore的Ophir Harpaz说: “凭借其分散的基础架构,它可以在所有节点之间分配控制权。” “在没有单一故障点的网络中,节点之间不断地相互通信,以保持网络的生命力,弹性和最新性。” 除了实现一个从头编写的专有P2P协议之外,通信是通过一个加密通道完成的,而恶意软件能够在受害者系统上创建后门,允许攻击者继续访问。 无文件的P2P僵尸网络 虽然之前已经发现过基于GoLang的僵尸网络,如Gandalf和GoBrut,但FritzFrog似乎与Rakos有一些相似之处,Rakos是另一个基于GoLang的Linux后门,之前被发现通过强力SSH登录来渗透目标系统。 P2P的恶意软件 但是,令FritzFrog独树一帜的是它没有文件,这意味着它可以在内存中组装和执行有效载荷,并且在执行暴力攻击时更具攻击性,同时还可以通过在僵尸网络内平均分配目标来提高效率。 一旦确定了目标计算机,该恶意软件将执行一系列任务,包括对其进行暴力破解,在成功突破后用恶意有效载荷感染计算机,并将受害者添加到P2P网络。 命令本身通过一系列避免被发现的圆环传送给恶意软件。僵尸网络中的攻击节点首先通过SSH锁定一个特定的受害者,然后使用NETCAT程序与远程服务器建立连接。 此外,有效载荷文件以BitTorrent样式在节点之间交换,采用分段文件传输方法来发送数据块。 除了加密和编码命令响应,恶意软件运行一个单独的进程,名叫“libexec”,Monero硬币通过留下后门的方式是通过添加一个“authorized_keys文件的公钥SSH的以便登录身份验证,无需再次依赖密码即可进行身份验证。 除了针对教育机构以外,还发现FritzFrog暴力破解了属于政府组织,医疗中心,银行和电信公司的数百万个IP地址。 Guardicore Labs还提供了一个检测脚本,用于检查服务器是否已被FritzFrog感染,并共享其他泄露指标(IoC)。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号