新型P2P僵尸网络感染全球SSH服务器

2020-08-19 21:26:20

研究人员发现了他们认为是以前未被发现的僵尸网络,该僵尸网络使用异常先进的措施秘密瞄准世界各地数百万台服务器。

安全公司瓜迪科实验室(Guardicore Labs)的研究人员周三报道,僵尸网络使用从头开始编写的专有软件来感染服务器,并将它们围栏到一个点对点网络中。P2P僵尸网络将它们的管理分配给许多受感染的节点,而不是依赖控制服务器来发送命令和接收窃取的数据。由于没有集中式服务器,僵尸网络通常更难发现,也更难关闭。

瓜迪科尔实验室研究员奥菲尔·哈帕兹写道:“这项活动的有趣之处在于,乍一看,没有明显的命令和控制(CNC)服务器与之相连,”瓜迪科尔实验室研究员奥菲尔·哈帕兹(Ophir Harpaz)写道。“就在研究开始后不久,我们才了解到最初并不存在CNC。”

Guardicore实验室的研究人员将这个僵尸网络命名为FritzFrog,它还有许多其他高级功能,包括:

只关注感染网络管理员用来管理计算机的安全外壳(SSH)服务器。

用于识别弱登录密码的登录凭据组合列表,比以前在僵尸网络中看到的密码更“广泛”。

总而言之,这些属性表明,一名高于平均水平的运营商投入了大量资源,建立了一个有效、难以检测和对攻击具有弹性的僵尸网络。新的代码库-与快速发展的版本和仅在内存中运行的有效负载相结合-使得防病毒和其他端点保护很难检测到恶意软件。

点对点的设计使得研究人员或执法部门很难关闭这一行动。关闭的典型方法是夺取对命令和控制服务器的控制权。由于感染了FritzFrog的服务器相互分散控制,这种传统的措施是行不通的。点对点也使得无法在控制服务器和域中筛选有关攻击者的线索。

哈帕兹说,公司研究人员第一次偶然发现僵尸网络是在1月份。她说,从那时起,它就瞄准了属于政府机构、银行、电信公司和大学的数千万个IP地址。到目前为止,僵尸网络已经成功感染了500台服务器,这些服务器属于“美国和欧洲的知名大学,以及一家铁路公司”。

一旦安装,恶意负载就可以执行30个命令,包括运行脚本和下载数据库、日志或文件的命令。为了逃避防火墙和端点保护,攻击者通过SSH将命令通过管道传输到受感染计算机上的Netcat客户端。然后,Netcat连接到“恶意软件服务器”。(提到此服务器表明FritzFrog对等结构可能不是绝对的。或者,“恶意软件服务器”可能驻留在其中一台受感染的计算机上,而不是托管在专用服务器上。卫报核心实验室(GuardiCore Labs)的研究人员无法立即做出澄清。)。

为了渗透和分析僵尸网络,研究人员开发了一个程序,用来交换僵尸网络用来发送命令和接收数据的加密密钥。

哈帕兹写道:“这个项目,我们将其命名为”青蛙“,让我们能够调查这个网络的性质和范围。”使用FROGGER,我们还能够通过‘注入’我们自己的节点并参与正在进行的P2P流量来加入网络。“。

在受感染的机器重新启动之前,FritzFrog会将公共加密密钥安装到服务器的“AUTHORIZED_KEYS”文件中。证书在弱密码更改时充当后门。

从周三的调查结果得出的结论是,没有同时使用强密码和加密证书保护SSH服务器的管理员可能已经感染了恶意软件,未受过训练的眼睛很难检测到这些恶意软件。该报告有一个链接,指向危害指标和一个可以发现受感染机器的程序。