压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

近日， Guardicore實驗室首席研究員Harpaz發(fā)現(xiàn)一種名為FritzFrog的無文件蠕蟲，將運行SSH服務器的Linux設備（公司服務器、路由器和物聯(lián)網(wǎng)設備）捆綁到P2P僵尸網(wǎng)絡中，用于挖掘加密貨幣（門羅幣），該僵尸網(wǎng)絡的節(jié)點目前已遍布全球（北美、中國、韓國是重災區(qū)）：

與此同時，該惡意軟件會在受感染的計算機上創(chuàng)建后門，即使更改了SSH密碼，攻擊者也可以通過后門訪問。

Harpaz 指出：“查看代碼后發(fā)現(xiàn)，與傳統(tǒng)的P2P和蠕蟲（’cracker’）模塊相比，攻擊者對獲得訪問漏洞服務器的興趣更感興趣，然后通過挖掘門羅幣獲利。”

對SSH服務器的訪問和控制可能比傳播挖礦軟件賺的錢多得多。此外，F(xiàn)ritzFrog可能是一種P2P基礎設施即服務。由于該僵尸程序足夠強大，可以在受害機器上運行任何可執(zhí)行文件或腳本，因此該僵尸程序可以在暗網(wǎng)中出租，可以滿足其任何惡意愿望。

蠕蟲的目標

FritzFrog是一種模塊化，多線程，無文件的SSH Internet蠕蟲，它試圖通過破壞公共IP地址來發(fā)展P2P僵尸網(wǎng)絡，而忽略了為私有地址保存的已知范圍。

“在攔截FritzFrog P2P網(wǎng)絡時，我們已經(jīng)看到由順序IP地址組成的目標列表，從而對互聯(lián)網(wǎng)中的IP范圍進行了非常系統(tǒng)的掃描，” Harpaz解釋說。

自2020年1月以來，該僵尸網(wǎng)絡以政府機關、教育機構、醫(yī)療中心、銀行和眾多電信公司的IP地址為目標，并成功突破了500多個SSH服務器。

技術非常先進

FritzFrog是用Golang編寫的惡意軟件，技術含量很高，似乎是高度專業(yè)的軟件開發(fā)人員的作品，主要特點如下：

• 它是無文件的。在內存中組裝和執(zhí)行有效負載，在沒有工作目錄的情況下運行，并且在節(jié)點之間共享和交換文件時也使用無文件方法。
• 基于大量詞典。它的暴力嘗試極具侵略性。
• 高效。網(wǎng)絡中沒有兩個節(jié)點試圖“破解”同一臺目標計算機
• 它的P2P協(xié)議是專有的，是從頭開始編寫的（即，不是基于現(xiàn)有的實現(xiàn)）
• 它以添加到authorized_keys文件中的SSH-RSA公鑰的形式創(chuàng)建后門。使用私鑰，攻擊者可以在需要時隨時訪問威脅計算機，而無需知道SSH密碼。

FritzFrog難以被偵測的主要原因：

• 它的進程以ifconfig，nginx或libexec的名稱運行（后者在門羅幣采礦時使用）
• 在受感染機器上運行本地netcat客戶端，通過標準SSH端口建立其P2P命令隧道。通過SSH發(fā)送的任何命令都將用作netcat的輸入并傳輸給惡意軟件

“除了采用新穎的命令發(fā)送方式，該過程還實現(xiàn)了完全自動化并在惡意軟件的控制下。即使在為新感染的主機創(chuàng)建了P2P通道之后，該惡意軟件仍會繼續(xù)向受害者發(fā)送命令。” Harpaz指出。

Guardicore Labs開發(fā)了一種攔截該僵尸網(wǎng)絡發(fā)送和接受命令的工具。但僵尸網(wǎng)絡的運營者也可以做完全相同的事情，而且操作員很有可能具有將命令手動發(fā)送到網(wǎng)絡中某些（或所有）節(jié)點的手段。”

檢查您的設備是否成了僵尸網(wǎng)絡的一部分

在SSH服務器上檢測到一個挖礦軟件并不能證明它已被感染，因為該惡意軟件會檢查該計算機是否具備挖礦的額外計算資源，進而決定是否啟動挖礦。

管理員可以使用檢測腳本（https://github.com/guardicore/labs_campaigns/blob/master/FritzFrog/detect_fritzfrog.sh）來搜索上述無文件進程，惡意軟件在端口1234和5555上偵聽TCP流量（到Monero池的網(wǎng)絡流量）的證據(jù)。

重新啟動受影響的機器/設備會從內存中刪除惡意軟件并終止惡意軟件進程，但由于受害者會立即“被登錄”到P2P網(wǎng)絡，因此它將立即被再次感染。

緩解措施：

• 終止惡意進程
• 將SSH密碼更改為強密碼并使用公共密鑰身份驗證
• 從authorized_keys文件中刪除FritzFrog的公鑰以“關閉”后門
• 如果不需要服務，請考慮更改路由器和IoT設備的SSH端口或完全禁用對它們的SSH訪問