P2P僵尸网络已悄然入侵,积极针对于全球SSH服务器
网络安全研究人员今天揭开了一个复杂的、多功能的p2p僵尸网络的面纱,它是用golang语言编写,自2020年1月以来一直积极地针对ssh服务器。
根据guardicore实验室发布一份报告,这个被称为“fritzfrog”的模块化、多线程和无文件的僵尸网络迄今已经侵入了500多台服务器,感染了美国和欧洲的知名大学和一家铁路公司。guardicore的ophir harpaz说:
“凭借其分散的基础架构,它可以在所有节点之间分配控制权。” “在没有单一故障点的网络中,节点之间不断地相互通信,以保持网络的生命力,弹性和最新性。”
除了实现一个从头编写的专有p2p协议之外,通信是通过一个加密通道完成的,而恶意软件能够在受害者系统上创建后门,允许攻击者继续访问。
无文件的p2p僵尸网络
虽然之前已经发现过基于golang的僵尸网络,如gandalf和gobrut,但fritzfrog似乎与rakos有一些相似之处,rakos是另一个基于golang的linux后门,之前被发现通过强力ssh登录来渗透目标系统。
p2p的恶意软件
但是,令fritzfrog独树一帜的是它没有文件,这意味着它可以在内存中组装和执行有效载荷,并且在执行暴力攻击时更具攻击性,同时还可以通过在僵尸网络内平均分配目标来提高效率。
一旦确定了目标计算机,该恶意软件将执行一系列任务,包括对其进行暴力破解,在成功突破后用恶意有效载荷感染计算机,并将受害者添加到p2p网络。
netcat ssh恶意软件
为了掩盖事实,该恶意软件以ifconfig和nginx的身份运行,并开始侦听端口1234,以接收进一步的执行命令,包括那些将受害者与网络对等点和暴力目标的数据库同步的命令。
命令本身通过一系列避免被发现的圆环传送给恶意软件。僵尸网络中的攻击节点首先通过ssh锁定一个特定的受害者,然后使用netcat程序与远程服务器建立连接。
此外,有效载荷文件以bittorrent样式在节点之间交换,采用分段文件传输方法来发送数据块。
“当节点a希望从其对等节点b接收文件时,它可以使用getblobstats命令查询节点b所拥有的blob,” harpaz说。
“然后,节点a可以通过它的散列(通过p2p命令getbin或通过http,使用url‘https:// node_ip:1234 / blob_hash)获得特定的blob。” 当节点a有必需的blob时,它将使用名为assemble的特殊模块来组装文件并运行它。”
除了加密和编码命令响应,恶意软件运行一个单独的进程,名叫“libexec”,monero硬币通过留下后门的方式是通过添加一个“authorized_keys文件的公钥ssh的以便登录身份验证,无需再次依赖密码即可进行身份验证。
自一月以来发现13,000次攻击
据网络安全公司称,该活动于1月9日开始,自首次出现以来,跨越20种不同版本的恶意软件二进制代码的攻击累计达到1.3万次。
除了针对教育机构以外,还发现fritzfrog暴力破解了属于政府组织,医疗中心,银行和电信公司的数百万个ip地址。
guardicore labs还提供了一个检测脚本,用于检查服务器是否已被fritzfrog感染,并共享其他泄露指标(ioc)。
“弱密码是促成fritzfrog攻击的直接推动者,”harpaz总结道。我们建议选择强密码,并使用公钥认证,这样更安全。
路由器和物联网设备经常暴露ssh,因此容易受到fritzfrog的攻击——考虑改变它们的ssh端口,或者在服务不使用时完全禁用ssh访问。
自驱动超灵敏心内压传感器研究获进展
什么是超声波?
wewowC3HIFI运动无线耳机体验 一款不像初出茅庐的初代产品
蓝牙 Mesh 网络:塑造智能家居和工业自动化的未来
自己动手增强蓝牙适配器信号,Enhanced bluetooth signal
P2P僵尸网络已悄然入侵,积极针对于全球SSH服务器
整车企业的总体战略方向
光伏电站的组成结构图
荣耀9、小米6、努比亚Z17都是一流的外观设计你买谁?荣耀9、小米6、努比亚Z17区别对比评测
2019年物联网发展的4项预测
主流供应商专家共话智能手机差异化创新设计
dfrobot角蜂鸟人工智能视觉套件简介
告别网络困扰!让4G家用路由器解放你的上网体验
第三章 利用Delay函数来实现LED的闪烁
超级全面!一文看懂***:MEMS传感器及芯片制造的最核心设备
三星全新智能手表三星Galaxy Watch Active2于本月28日开启预售
中国联通正在从四方面加快推进5G技术成熟
塑料颗粒钙粉化工原料拆包投料机械手使用优势
Gita是一个能够搬运杂货的载货机器人 有助于节省人工成本
TD创新具有战略意义 TD-LTE决定TD能走多远
根据guardicore实验室发布一份报告,这个被称为“fritzfrog”的模块化、多线程和无文件的僵尸网络迄今已经侵入了500多台服务器,感染了美国和欧洲的知名大学和一家铁路公司。guardicore的ophir harpaz说:
“凭借其分散的基础架构,它可以在所有节点之间分配控制权。” “在没有单一故障点的网络中,节点之间不断地相互通信,以保持网络的生命力,弹性和最新性。”
除了实现一个从头编写的专有p2p协议之外,通信是通过一个加密通道完成的,而恶意软件能够在受害者系统上创建后门,允许攻击者继续访问。
无文件的p2p僵尸网络
虽然之前已经发现过基于golang的僵尸网络,如gandalf和gobrut,但fritzfrog似乎与rakos有一些相似之处,rakos是另一个基于golang的linux后门,之前被发现通过强力ssh登录来渗透目标系统。
p2p的恶意软件
但是,令fritzfrog独树一帜的是它没有文件,这意味着它可以在内存中组装和执行有效载荷,并且在执行暴力攻击时更具攻击性,同时还可以通过在僵尸网络内平均分配目标来提高效率。
一旦确定了目标计算机,该恶意软件将执行一系列任务,包括对其进行暴力破解,在成功突破后用恶意有效载荷感染计算机,并将受害者添加到p2p网络。
netcat ssh恶意软件
为了掩盖事实,该恶意软件以ifconfig和nginx的身份运行,并开始侦听端口1234,以接收进一步的执行命令,包括那些将受害者与网络对等点和暴力目标的数据库同步的命令。
命令本身通过一系列避免被发现的圆环传送给恶意软件。僵尸网络中的攻击节点首先通过ssh锁定一个特定的受害者,然后使用netcat程序与远程服务器建立连接。
此外,有效载荷文件以bittorrent样式在节点之间交换,采用分段文件传输方法来发送数据块。
“当节点a希望从其对等节点b接收文件时,它可以使用getblobstats命令查询节点b所拥有的blob,” harpaz说。
“然后,节点a可以通过它的散列(通过p2p命令getbin或通过http,使用url‘https:// node_ip:1234 / blob_hash)获得特定的blob。” 当节点a有必需的blob时,它将使用名为assemble的特殊模块来组装文件并运行它。”
除了加密和编码命令响应,恶意软件运行一个单独的进程,名叫“libexec”,monero硬币通过留下后门的方式是通过添加一个“authorized_keys文件的公钥ssh的以便登录身份验证,无需再次依赖密码即可进行身份验证。
自一月以来发现13,000次攻击
据网络安全公司称,该活动于1月9日开始,自首次出现以来,跨越20种不同版本的恶意软件二进制代码的攻击累计达到1.3万次。
除了针对教育机构以外,还发现fritzfrog暴力破解了属于政府组织,医疗中心,银行和电信公司的数百万个ip地址。
guardicore labs还提供了一个检测脚本,用于检查服务器是否已被fritzfrog感染,并共享其他泄露指标(ioc)。
“弱密码是促成fritzfrog攻击的直接推动者,”harpaz总结道。我们建议选择强密码,并使用公钥认证,这样更安全。
路由器和物联网设备经常暴露ssh,因此容易受到fritzfrog的攻击——考虑改变它们的ssh端口,或者在服务不使用时完全禁用ssh访问。
自驱动超灵敏心内压传感器研究获进展
什么是超声波?
wewowC3HIFI运动无线耳机体验 一款不像初出茅庐的初代产品
蓝牙 Mesh 网络:塑造智能家居和工业自动化的未来
自己动手增强蓝牙适配器信号,Enhanced bluetooth signal
P2P僵尸网络已悄然入侵,积极针对于全球SSH服务器
整车企业的总体战略方向
光伏电站的组成结构图
荣耀9、小米6、努比亚Z17都是一流的外观设计你买谁?荣耀9、小米6、努比亚Z17区别对比评测
2019年物联网发展的4项预测
主流供应商专家共话智能手机差异化创新设计
dfrobot角蜂鸟人工智能视觉套件简介
告别网络困扰!让4G家用路由器解放你的上网体验
第三章 利用Delay函数来实现LED的闪烁
超级全面!一文看懂***:MEMS传感器及芯片制造的最核心设备
三星全新智能手表三星Galaxy Watch Active2于本月28日开启预售
中国联通正在从四方面加快推进5G技术成熟
塑料颗粒钙粉化工原料拆包投料机械手使用优势
Gita是一个能够搬运杂货的载货机器人 有助于节省人工成本
TD创新具有战略意义 TD-LTE决定TD能走多远