یک بدافزار جدید به نام P2P Botnet سرورهای SSH در سراسر جهان را مورد هدف قرار داد
491 بازدید
محققان امنیت سایبری امروز یک botnet پیچیده، چند منظوره، با همتا (P2P) را که در Golang (زبان برنامه نویسی گو) برنامه ریزی شده و از ژانویه سال ۲۰۲۰ به طور جدی سرورهای SSH را هدف قرار داده را از بین بردند.
بر اساس گزارشی که امروز آزمایشگاه گاردینور منتشر کرده است، باتنت ماژولار، multi-threaded and file-less botnet، تاکنون بیش از ۵۰۰ سرور را نقض کرده است و دانشگاه های مشهور در آمریکا و اروپا و یک شرکت راه آهن را آلوده کرده است.
اوفیر هارپاز گفت : با وجود زیرساخت های غیرمتمرکز، کنترل را در بین همه گره های خود تقسیم می کنیم.
ارتباطات این بدافزار، علاوه بر پیاده سازی پروتکل اختصاصی P2P که از ابتدا نوشته شده است، از طریق کانال رمزگذاری شده نیز انجام می شود، این بدافزار قادر به ایجاد در پشتی در سیستم های قربانی است که امکان دسترسی مداوم به مهاجمان را می دهد.
یک Botnet P2P Filless
اگرچه قبلاً بات نت های مبتنی بر GoLang مانند Gandalf و GoBrut مشاهده شده اند، اما FritzFrog به نظر می رسد برخی شباهت ها را با Rakos به اشتراک می گذارد، یکی دیگر از پشتیبان های مبتنی بر Golang که قبلاً برای تلاش برای نفوذ در سیستم های هدف از طریق حملات brute force در ورود به سیستم SSH بود.
اما آنچه باعث تمایز FritzFrog از بقیه بات نت ها میشود این است که به صورت فایلی اجرا نمیشود! یعنی در حافظه های موقت ساخته و اجرا میشود. این روش برای انجام حملات brute-force attacks کارآمدتر محسوب میشود.
پس از شناسایی یک دستگاه هدف، این بدافزار یک سری کارها را انجام می دهد که شامل زورگیری از آن می شود، دستگاه را با بارهای مخرب پس از یک نقض موفقیت آمیز آلوده می کند و قربانی را به شبکه P2P اضافه می کند.
برای بدست آوردن زیر رادار، این بدافزار به صورت ifconfig و NGINX اجرا می شود و شروع به گوش دادن به پورت ۱۲۳۴ می کند تا دستورات بیشتری را برای اجرا دریافت کند. خود این دستورات از طریق یک سری هوپ ها که برای جلوگیری از تشخیص طراحی شده اند به بدافزارها منتقل می شوند. گره حمله کننده در بات نت ابتدا قربانی خاصی را روی SSH می چسباند و سپس از ابزار NETCAT برای برقراری ارتباط با سرور راه دور استفاده می کند.
علاوه بر این، پرونده های payload، بین گره ها، به سبک BitTorrent رد و بدل می شوند، و از این روش برای ارسال حباب داده استفاده می کنند.
هنگامی که یک گره A مایل به دریافت پرونده ای از همتای خود، گره B باشد، می تواند گره B را که با استفاده از دستور getblobstats فرمان دارد، از آن سؤال کند. سپس، گره A می تواند حباب خاص خود را، یا با دستور P2P getbin یا بالای HTTP، با URL “https: // node_IP: 1234 / blob_hash” دریافت کند’ هنگامی که گره A دارای تمام حباب های مورد نیاز است، با استفاده از یک ماژول ویژه به نام Assemb، پرونده را مونتاژ کرده و آن را اجرا می کنید.
در کنار رمزنگاری های این بدافزار، همچنین فرآیند جدایی به اسم libexec را اجرا میکند که به استخراج Monero میپردازد و یک در پشتی برای دسترسی های بعدی به قربانی جا میگذارد. این در پشتی به وسیله کلید های عمومی SSH و بدون نیاز به تایید دوباره گذرواژه انجام میشود.
از ژانویه تا به امروز ۱۳۰۰۰ حمله مشاهده شده است
این کمپین از تاریخ ۹ ژانویه ایجاد شد، طبق گفته سازمان امنیت سایبری، پیش از دستیابی به تجمع ۱۳۰۰۰ حمله از زمان ظهور، اولین بار در ۲۰ نسخه مختلف باینری بدافزار.
علاوه بر هدف قرار دادن مؤسسات آموزشی FritzFrog، مشخص شده است که میلیون ها آدرس IP که متعلق به سازمان های دولتی، مراکز پزشکی، بانکها و شرکتهای مخابراتی است، به زور مورد استفاده قرار می دهد.
آزمایشگاه Guardicore همچنین یک اسکریپت تشخیص در دسترس قرار داده است که می تواند سرورهای آلوده را اسکن بکند و ببیند که آیا این سرور توسط FritzFrog آلوده شده است یا خیر.
گذرواژه های ضعیف، دلیل اصلی حملات FritzFrog هستند. توصیه می کنیم رمزهای عبور قوی را انتخاب کرده و از احراز هویت کلید عمومی استفاده کنید، که بسیار امن تر است.
روترها و دستگاه های IoT اغلب SSH را در معرض دید قرار می دهند و بنابراین در برابر FritzFrog آسیب پذیر هستند. حواستان باشد که در صورت استفاده از سرویس، پورت SSH خود را تغییر داده یا دسترسی SSH را به طور کامل غیرفعال کنید.
هیچ دیدگاهی نوشته نشده است.