FritzFrog 是一个 P2P 僵尸网络,每一个失陷服务器全是互联网中的一部分,可以推送、接受、实行命令来操纵互联网中的设备。
典型性特点
FritzFrog 关键根据 SSH 爆破开展散播,爆破取得成功后布署恶意软件。恶意软件在失陷服务器上监视端口号等候命令,适用的命令如下所示所显示:
命令目录
科学研究工作人员觉得 FritzFrog 是“下一代”僵尸网络,关键有下述特性:
- 不断升级,既是失陷服务器又是 C&C 网络服务器
- 攻击性强,应用的词典很强劲,别的 P2P 僵尸网络如 DDG 只应用root一个登录名
- 高效率很高,进攻总体目标在网络节点间联合分布
- 私有化协议书,应用的 P2P 协议书是私有化的,不依靠已经知道的 P2P 协议书
FritzFrog v2
2020 年 8 月,FritzFrog 被公布后没多久,进攻抗压强度有一定的降低。但在 2021 年 12 月初,依据监测数据信息发觉其进攻在令人震惊地提升。
进攻总数
FritzFrog 从 SSH 爆破逐渐,释放出来可执行程序后监视 1234 端口号,而且扫描仪 22 端口号和 2222 端口。
这轮进攻与先前的进攻差别之一是故意过程名,先前采用的是 ifconfig或 nginx,而此次应用了 apache2。
受害人剖析
科学研究工作人员开发设计了名叫 Frogger的专用工具,运用僵尸网络的基础设施建设来搜集失陷服务器的有关信息。
进攻连接点总数
根据发觉进攻的电子计算机 IP 详细地址和 Frogger给予的信息内容来搜集受害人 IP 详细地址。
发展趋势差别
这段时间内,FritzFrog 取得成功感染了 1500 多台计算机。这种机器设备归属于各种各样不一样的安排与领域,如诊疗、文化教育和政府部门等,在欧洲地区电视节目互联网、俄国医疗器械生产商和亚太地区多家高校里都发觉了失陷服务器。
失陷服务器遍布
新作用
FritzFrog 应用 Golang 撰写,可在多种多样构架上运作。根据 UPX 免杀,过程通常名叫 ifconfig、nginx、apache2 或 php-fpm。FritzFrog 每日都是在维持升级,有时候乃至一天升级多次,有时候是修补 BUG 有时候是提升作用。
WordPress
FritzFrog 会根据名叫 Wordpress 和 WordpressTargetsTTL 的目录,完成追踪 WordPress 网络服务器的基础设施建设。相匹配的 P2P 命令为 put wordpress,编码如下所示所显示:
一部分编码
截止到公布时,目录依然为空。FritzFrog 事实上并不包含鉴别 WordPress 总体目标的控制模块,科学研究工作人员觉得是为最新版本做准备,用以数据泄露或是勒索病毒等。
Tor
FritzFrog 可以应用 Tor 代理商分享 SSH 联接,根据本地端口 9050 使 FritzFrog 可以根据 SSH 操纵失陷服务器。
失陷主机只有发觉传送数据隔壁邻居连接点,为此来掩藏别的失陷服务器。但该作用虽然存有,却并没有开启。
SCP
最开始时,FritzFrog 应用 cat 命令布署故意样版。如今,FritzFrog 会应用 SCP 开展远程控制拷贝。网络攻击运用了开源系统的 Golang 撰写的 SCP库,二者之间差别应当并不大,但 SCP 库的作者是我们中国人。
信用黑名单
FritzFrog 有一个预制构件的不进攻目录,网络攻击还可以根据 P2P 命令 putbleentry中后期动态性插进。
"Uname_match": "[redacted]dddz.me 3.10.0-693.2.2.el7.x86_64 #1 SMP Tue Sep 12 22:26:13 UTC 2017"},
{"Address": "",
"Uname_match": "[redacted]-1 4.4.0-151-generic #178-Ubuntu SMP Tue Jun 11 08: 30: 22 UTC 2019"},
{"Address": "",
"Uname_match": "[redacted].amzn2.x86_64 #1 SMP Mon Jun 18 22: 33: 07 UTC 2018 x86_64 GNU/Linux"},
{"Address": "",
"Uname_match": "[redacted]-generic #113-Ubuntu SMP Thu Jul 9 23: 41: 39 UTC 2020"},
{"Address": "",
"Uname_match": "[redacted] raspberrypi 4.4.32-v7 #924 SMP Tue Nov 15 18: 11: 28 GMT 2016 armv7l GNU/Linux"},
{"Address": "",
"Uname_match": [redacted] 3.10.0-123.4.4.el7.x86_64 #1 SMP Fri Jul 25 05: 07: 12 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux"},
{"Address": "",
"Uname_match": [redacted] 4.18.0-193.28.1.el8_2.x86_64 #1 SMP Thu Oct 22 00: 20: 22 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux"},
{"Address": "[redacted].24: 22",
"Uname_match": ""},
{"Address": "[redacted].88: 22",
"Uname_match": ""},
{"Address": "[redacted].26: 22",
"Uname_match": ""}]
攻击者尝试防止感柒中低端机器设备,如 Raspberry Pi 或 AWS 上较弱的 EC2 服务器。
目录中来源于俄国的 IP 详细地址,有一个对外开放了一系列端口号而且存有各式各样的系统漏洞,很有可能是一个蜜獾,此外一个 IP 详细地址偏向开源系统僵尸网络水洼。这说明,攻击者积极主动躲避检测分析。
2个位于英国的 IP 详细地址,一个是马里兰大学的,另一个会在预览时警示“好奇害死猫”。
好奇害死猫
归因于
最新版本运用了应用 Golang 撰写的 scp 库,库房持有者的部位位于上海市,在其中一位作者也位于上海市。
FritzFrog 的钱夹详细地址:(47BD6QNfkWf8ZMQSdqp2tY1AdG8ofsEPf4mcDp1YB4AX32hUjoLjuDaNrYzXk7cQcoPBzAuQrmQTgNgpo6XPqSBLnfsjaV)和挖矿软件也与 Mozi 僵尸网络主题活动相关,而 Mozi 的作者近期在中国被抓。
目前为止,大概 37% 的失陷服务器位于中国。中国以及周边城市的进攻主题活动也是多次的,攻击者极有可能是说中文的或是装扮成与中国相关。
测试工具
Akamai 给予了一个 FritzFrog 检验脚本制作,如下所示所显示:
专用工具截屏
参照来源于:Akamai