在躺下后，SSH僵尸网络会出现蘑菇，而且比以往任何时候都更难清除

两年前，研究人员偶然发现了互联网上最有趣的僵尸网络之一：一个以前未被发现的由500台服务器组成的网络，其中许多服务器位于世界各地的知名大学和企业，不受正常拆除方法的影响。这些研究人员说，在潜伏了16个月之后，名为FritzFrog的僵尸网络又恢复了新的功能，并拥有了更多受感染的机器。

FritzFrog的目标几乎是任何带有SSH或安全外壳、服务器云实例、数据中心服务器、路由器等的东西，并安装一个从零开始编写的异常先进的负载。当安全公司Guardicore Labs（现为Akamai Labs）的研究人员在2020年年中报告它时，他们称它为“下一代”僵尸网络，因为它拥有全套功能和精心设计的设计。它是一种分散的对等体系结构，在许多受感染的节点之间而不是在中央服务器之间分配管理，这使得使用传统方法很难检测或关闭它。它的一些高级特征包括：

唯一的重点是感染网络管理员用来管理机器的安全外壳服务器

一个登录凭证组合列表，用于识别比以前出现的僵尸网络更“广泛”的弱登录密码

到2020年8月，FritzFrog已将来自知名组织的约500台机器集中到其网络中。报告发布后，P2P减少了新感染病例的数量。Akamai研究人员周四报告称，从去年12月开始，僵尸网络'；美国的感染率增加了十倍，现在已经激增到1500多台机器。

这种先进的软件每天都在更新，以修复漏洞，在过去几个月里，它实现了新的功能和更具攻击性的感染方法。它以最新形式感染的组织包括一家欧洲电视频道网络、一家俄罗斯医疗设备制造商、东亚多所大学以及医疗、高等教育和政府部门的其他机构。

FritzFrog通过扫描互联网上的SSH服务器进行传播，当它找到一个服务器时，它会尝试使用凭据列表登录。成功后，僵尸网络软件会安装专有恶意软件，使其成为一个庞大的无头P2P网络中的无人机。每台服务器不断监听端口1234上的连接，同时扫描端口22和2222上的数千个IP地址。当它遇到其他受感染的服务器时，这些服务器会相互交换数据，以确保所有服务器都运行最新的恶意软件版本，并拥有目标和受感染机器的最新数据库。

为了躲避防火墙和端点保护软件，FritzFrog通过SSH将命令传输到受感染机器上的netcat客户端。Netcat然后连接到一个“恶意软件服务器”，该服务器托管在受感染的机器上，而不是中央服务器。