新的P2P僵尸网络感染了全世界的SSH服务器

研究人员发现他们认为是以前未被发现的僵尸网络,该僵尸网络使用异常高级的措施秘密地瞄准了全球数百万台服务器。

安全公司Guardicore Labs的研究人员周三报道,僵尸网络使用从头开始编写的专有软件来感染服务器,并将其连接到对等网络。P2P僵尸网络将其管理分布在许多受感染的节点之间,而不是依赖控制服务器来发送命令和接收被窃取的数据。由于没有集中式服务器,僵尸网络通常更难发现并且更难关闭。

Guardicore Labs的研究人员Ophir Harpaz写道:“乍看之下,这项运动吸引人的地方是,没有明显的命令和控制(CNC)服务器连接到该服务器。” “在研究开始后不久,我们就开始了解根本不存在CNC。”

僵尸网络(Guardicore实验室的研究人员将其命名为FritzFrog)具有许多其他高级功能,包括:

内存有效负载永远不会接触受感染服务器的磁盘。

自一月份以来,至少有20个软件二进制版本。

专注于感染网络管理员用来管理计算机的安全Shell或SSH服务器。

后门感染服务器的能力。

登录凭据组合列表,用于保留较弱的登录密码,该密码比以前看到的僵尸网络中的密码更“广泛”。

全部放在一起...

综上所述,这些属性表明操作员平均水平高于平均水平,他投入了大量资源来构建僵尸网络,该僵尸网络有效,难以检测并且可以抵御恶意攻击。新的代码库与仅在内存中运行的快速发展的版本和有效负载结合在一起,使防病毒和其他端点保护很难检测到恶意软件。

点对点设计使研究人员或执法部门很难关闭操作。拆卸的典型方法是抓住对命令和控制服务器的控制。由于感染了FritzFrog的服务器之间相互进行分散控制,因此这种传统措施无效。对等网络还使得无法在控制服务器和域中筛选有关攻击者的线索。

Harpaz说,公司研究人员在一月份首次发现了僵尸网络。她说,自那时以来,它已经锁定了属于政府机构,银行,电信公司和大学的数千万个IP地址。到目前为止,僵尸网络已成功感染了500台属于“美国和欧洲的知名大学以及一家铁路公司”的服务器。

全功能

安装后,恶意有效负载可以执行30个命令,包括运行脚本并下载数据库,日志或文件的命令。为了逃避防火墙和端点保护,攻击者通过SSH将命令通过管道传递给受感染计算机上的netcat客户端。然后,Netcat连接到“恶意软件服务器”。(该服务器的含义表明FritzFrog对等结构可能不是绝对的。或者“恶意软件服务器”可能托管在其中一台被感染的计算机上,而不是专用服务器上。GuardicoreLabs的研究人员不是“ t立即可以澄清。)

为了渗透和分析僵尸网络,研究人员开发了一个程序,该程序交换僵尸网络用来发送命令和接收数据的加密密钥。

“我们将此程序称为frogger,使我们能够研究网络的性质和范围,” Harpaz写道。“使用frogger,我们还能够通过“注入”我们自己的节点并参与正在进行的P2P流量来加入网络。”

在受感染机器重新启动之前,FritzFrog将公共加密密钥安装到服务器的“ authorized_keys”文件中。在弱密码被更改的情况下,证书充当后门。

从周三的调查结果中得出的结论是,不能同时使用强密码和加密证书来保护SSH服务器的管理员可能已经感染了恶意软件,未经培训的人很难检测到。该报告具有指向危害指标的链接以及可以发现受感染计算机的程序。