Ботнет «нового поколения» FritzFrog возобновил работу — он прячется в оперативной памяти серверов и майнит криптовалюту

Как узнать о заражении и обезопасить системы на Linux.

Оранжевая точка и её размер указывают на регион и количество заражённых серверов в нём. Источник: <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.akamai.com%2Fblog%2Fsecurity%2Ffritzfrog-p2p&postId=364074" rel="nofollow noreferrer noopener" target="_blank">Akamai Threat Labs</a>
Оранжевая точка и её размер указывают на регион и количество заражённых серверов в нём. Источник: Akamai Threat Labs

В декабре 2021 года специалисты по кибербезопасности исследовательской лаборатории Akamai Threat Labs обнаружили, что ботнет FritzFrog возобновил работу. К 10 февраля 2022 года через сетевой протокол SSH он захватил более 1500 серверов на Linux по всему миру. Заражённые компьютеры злоумышленники использовали для майнинга криптовалюты Monero.

Впервые о «ботнете нового поколения» FritzFrog специалисты сообщили в августе 2020 года. В отличие от других, его децентрализованная система была написана с нуля, а вредоносное ПО работало в оперативной памяти и не оставляло следов на диске. Серверы «общались» друг с другом и координировали заражение новых.

Как работал раньше

Ботнет — сеть компьютеров, на каждом из которых работает вредоносное ПО. Заражённые могут обращаться к одному или нескольким серверам за командами, или обмениваться ими без единого центра управления.

FrogNet относился ко второй категории и взламывал серверы по всему миру через брутфорс, или подбор сочетаний логина и пароля по протоколу SSH. Он нацелился на десятки миллионов IP-адресов правительственных учреждений, учебных заведений, медицинских центров, банков и телекоммуникационных компаний.

Когда FritzFrog получал доступ к серверу, вредоносная программа добавляла к файлу с SSH-ключами authorized_keys ещё один — по нему злоумышленники могли подключаться к компьютеру без пароля. Они загружали вредоносное ПО, которое запускало процессы под якобы системными именами ifconfig и nginx.

Злоумышленники также запускали на сервере утилиту netcat для настройки TCP и UDP-соединений. Она сканировала сетевой порт 1234 и принимала через него команды от других устройств в сети как свои входные данные, чтобы не беспокоить систему безопасности. Поиск новых адресов для заражения ботнет осуществлял через порты 22 и 2222.

Так выглядит схема обмена командами между заражёнными серверами: через утилиту netcat и порт 1234. Источник: <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.guardicore.com%2Flabs%2Ffritzfrog-a-new-generation-of-peer-to-peer-botnets%2F&postId=364074" rel="nofollow noreferrer noopener" target="_blank">Guardicore Labs</a>
Так выглядит схема обмена командами между заражёнными серверами: через утилиту netcat и порт 1234. Источник: Guardicore Labs

На каждом из серверов работал процесс libexec для майнинга криптовалюты Monero. Программа для добычи была основана на XMRig и подключалась к общедоступному пулу web.xmrpool.eu через порт 5555.

Специалистов из Guardicore Labs — ныне Akami — удивило необычное устройство сети. Одноранговая, то есть децентрализованная система FritzFrog была написана с нуля, — ей занимались профессиональные разработчики.

Исполняемые файлы FritzFrog удалялись сразу после запуска вредоносных процессов, и все действия он выполнял в оперативной памяти. Ботнет постоянно обновлялся, координировал действия между разными серверами и имел большой словарь для подбора логина и пароля по SSH-протоколу.

Что изменилось

В декабре FritzFrog обновился и начал активно заражать новые серверы. Среди его жертв оказались компьютеры сети европейских телеканалов, российского производителя медицинского оборудования, нескольких университетов в Восточной Азии и других регионах, а также правительственных и медицинских организаций.

Количество атак ботнета участилось с обновлением. Источник: <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.akamai.com%2Fblog%2Fsecurity%2Ffritzfrog-p2p&postId=364074" rel="nofollow noreferrer noopener" target="_blank">Akamai Threat Labs</a>
Количество атак ботнета участилось с обновлением. Источник: Akamai Threat Labs

Новая версия ботнета маскировала свои процессы под именем apache2, а не ifconfig или nginx. Как отмечает Akamai Threat Labs, в коде FritzFrog появились упоминания WordPress — в будущих версиях он может начать атаковать цели на базе этой системы.

Теперь FritzFrog поддерживает работу с прокси-серверами Tor для исходящих соединений через порт 9050. Их могут использовать, чтобы скрыть адрес заражённых машин от других. Впрочем, пока эта функция ни разу не применялась.

Если ранее для доставки исполняемого файла с вредоносным ПО использовали команду cat, то теперь FitzFrog перешёл на публичную библиотеку scp. Она есть в открытом доступе на GitHub, но, по оценке аналитиков из Akamai Threat Labs, у неё нет каких-то преимуществ перед старым вариантом. Разработчик в профиле указал, что живёт в Шанхае

В новых правилах для ботнета злоумышленники запретили ему заражать недорогие компьютеры с малыми ресурсами, такие как платы Raspberry Pi. По неясным причинам, ему также заблокировали доступ к серверам Университета Мэриленда.

А по ещё одному адресу в правилах исследователи обнаружили изображении с подписью: «любопытство кошку сгубило». Источник: <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.akamai.com%2Fblog%2Fsecurity%2Ffritzfrog-p2p&postId=364074" rel="nofollow noreferrer noopener" target="_blank">Akamai Threat Labs</a>
А по ещё одному адресу в правилах исследователи обнаружили изображении с подписью: «любопытство кошку сгубило». Источник: Akamai Threat Labs

По оценке Akamai Threat Labs, авторами ботнета могут быть жители Китая, или кто-то пытается так представить ситуацию — 37% заражённых машин находятся в этой стране.

Такую версию также может подтвердить переход на библиотеку scp и адреса криптокошельников, которые использовали при майнинге. Один из них ранее применял ботнет Mozi, авторов которого арестовали в Китае.

Как защититься от заражения

Akamai Threat Labs разработала скрипт для проверки сервера на заражение FritzFrog. Он ищет запущенные процессы с именами nginx, ifconfig, php-fpm, apache2 или libexec, исполняемый файл которых отсутствует в системе, а также проверяет порт 1234. Отдельно аналитики отмечают, что на ботнет может указать TCP-трафик через порт 5555.

Они также рекомендуют:

  • Вовремя обновлять операционную систему.
  • Настроить доступ к серверу без пароля с использованием «надёжной системы управления ключами».
  • Включить уведомления о новых подключениях по SSH-протоколу.
  • Следить за изменениями файла authorized_hosts в Linux.
  • Отключить root-вход по SSH и настроить список для разрешённых подключений.
2828
10 комментариев

Отключить корневой доступ по SSH и настроить список для разрешённых подключений.Не корневой, а для пользователя root.

4

Понедельник день тяжёлый. Конечно root-доступ имелся в виду, спасибо.

1

Комментарий недоступен

2

наоборот монеру сейчас по рынку продавать будут и цена полетит вниз

так всегда бывает когда например nicehash приходит в монетку)

2

не использовать стандартные ssh порты, по возможности использовать доступ только по сертификату

Можно к стандартному ещё добавить fail2ban, который при попытках подбора стандартных паролей блокирует подбирающий хост по IP на 15-20 минут.

1

Да, ключи и сертификаты достаточно надежны. И никакого рута.