Ботнет «нового поколения» FritzFrog возобновил работу — он прячется в оперативной памяти серверов и майнит криптовалюту Статьи редакции
Как узнать о заражении и обезопасить системы на Linux.
В декабре 2021 года специалисты по кибербезопасности исследовательской лаборатории Akamai Threat Labs обнаружили, что ботнет FritzFrog возобновил работу. К 10 февраля 2022 года через сетевой протокол SSH он захватил более 1500 серверов на Linux по всему миру. Заражённые компьютеры злоумышленники использовали для майнинга криптовалюты Monero.
Впервые о «ботнете нового поколения» FritzFrog специалисты сообщили в августе 2020 года. В отличие от других, его децентрализованная система была написана с нуля, а вредоносное ПО работало в оперативной памяти и не оставляло следов на диске. Серверы «общались» друг с другом и координировали заражение новых.
Как работал раньше
Ботнет — сеть компьютеров, на каждом из которых работает вредоносное ПО. Заражённые могут обращаться к одному или нескольким серверам за командами, или обмениваться ими без единого центра управления.
FrogNet относился ко второй категории и взламывал серверы по всему миру через брутфорс, или подбор сочетаний логина и пароля по протоколу SSH. Он нацелился на десятки миллионов IP-адресов правительственных учреждений, учебных заведений, медицинских центров, банков и телекоммуникационных компаний.
Когда FritzFrog получал доступ к серверу, вредоносная программа добавляла к файлу с SSH-ключами authorized_keys ещё один — по нему злоумышленники могли подключаться к компьютеру без пароля. Они загружали вредоносное ПО, которое запускало процессы под якобы системными именами ifconfig и nginx.
Злоумышленники также запускали на сервере утилиту netcat для настройки TCP и UDP-соединений. Она сканировала сетевой порт 1234 и принимала через него команды от других устройств в сети как свои входные данные, чтобы не беспокоить систему безопасности. Поиск новых адресов для заражения ботнет осуществлял через порты 22 и 2222.
На каждом из серверов работал процесс libexec для майнинга криптовалюты Monero. Программа для добычи была основана на XMRig и подключалась к общедоступному пулу web.xmrpool.eu через порт 5555.
Специалистов из Guardicore Labs — ныне Akami — удивило необычное устройство сети. Одноранговая, то есть децентрализованная система FritzFrog была написана с нуля, — ей занимались профессиональные разработчики.
Исполняемые файлы FritzFrog удалялись сразу после запуска вредоносных процессов, и все действия он выполнял в оперативной памяти. Ботнет постоянно обновлялся, координировал действия между разными серверами и имел большой словарь для подбора логина и пароля по SSH-протоколу.
Что изменилось
В декабре FritzFrog обновился и начал активно заражать новые серверы. Среди его жертв оказались компьютеры сети европейских телеканалов, российского производителя медицинского оборудования, нескольких университетов в Восточной Азии и других регионах, а также правительственных и медицинских организаций.
Новая версия ботнета маскировала свои процессы под именем apache2, а не ifconfig или nginx. Как отмечает Akamai Threat Labs, в коде FritzFrog появились упоминания WordPress — в будущих версиях он может начать атаковать цели на базе этой системы.
Теперь FritzFrog поддерживает работу с прокси-серверами Tor для исходящих соединений через порт 9050. Их могут использовать, чтобы скрыть адрес заражённых машин от других. Впрочем, пока эта функция ни разу не применялась.
Если ранее для доставки исполняемого файла с вредоносным ПО использовали команду cat, то теперь FitzFrog перешёл на публичную библиотеку scp. Она есть в открытом доступе на GitHub, но, по оценке аналитиков из Akamai Threat Labs, у неё нет каких-то преимуществ перед старым вариантом. Разработчик в профиле указал, что живёт в Шанхае
В новых правилах для ботнета злоумышленники запретили ему заражать недорогие компьютеры с малыми ресурсами, такие как платы Raspberry Pi. По неясным причинам, ему также заблокировали доступ к серверам Университета Мэриленда.
По оценке Akamai Threat Labs, авторами ботнета могут быть жители Китая, или кто-то пытается так представить ситуацию — 37% заражённых машин находятся в этой стране.
Такую версию также может подтвердить переход на библиотеку scp и адреса криптокошельников, которые использовали при майнинге. Один из них ранее применял ботнет Mozi, авторов которого арестовали в Китае.
Как защититься от заражения
Akamai Threat Labs разработала скрипт для проверки сервера на заражение FritzFrog. Он ищет запущенные процессы с именами nginx, ifconfig, php-fpm, apache2 или libexec, исполняемый файл которых отсутствует в системе, а также проверяет порт 1234. Отдельно аналитики отмечают, что на ботнет может указать TCP-трафик через порт 5555.
Они также рекомендуют:
- Вовремя обновлять операционную систему.
- Настроить доступ к серверу без пароля с использованием «надёжной системы управления ключами».
- Включить уведомления о новых подключениях по SSH-протоколу.
- Следить за изменениями файла authorized_hosts в Linux.
- Отключить root-вход по SSH и настроить список для разрешённых подключений.
Не корневой, а для пользователя root.
Понедельник день тяжёлый. Конечно root-доступ имелся в виду, спасибо.
Комментарий недоступен
наоборот монеру сейчас по рынку продавать будут и цена полетит вниз
так всегда бывает когда например nicehash приходит в монетку)
не использовать стандартные ssh порты, по возможности использовать доступ только по сертификату
Можно к стандартному ещё добавить fail2ban, который при попытках подбора стандартных паролей блокирует подбирающий хост по IP на 15-20 минут.
Не выйдет. Когда сеть из сотен тысяч серверов долбит с разных адресов, перебор все равно будет достаточно большим. Руту вообще надо запрещать вход по ssh.
Достаточно или сложного, не словарного, пароля или перехода на ключи. Но вообще - если вы входите рутом под ssh - вы делаете что-то не так.
А как войти под рутом без ssh?
Да, ключи и сертификаты достаточно надежны. И никакого рута.