Różności i nowinki technologia

Nowy botnet P2P infekuje serwery SSH na całym świecie

Animowany obraz komputera stacjonarnego atakowanego przez wirusy.

Aurich Lawson

Naukowcy odkryli, co ich zdaniem jest nieodkrytym wcześniej botnetem, który wykorzystuje niezwykle zaawansowane środki, aby potajemnie atakować miliony serwerów na całym świecie.

Botnet wykorzystuje autorskie oprogramowanie napisane od podstaw, aby infekować serwery i przenosić je do sieci peer-to-peer, poinformowali w środę badacze z firmy Guardicore Labs. Botnety P2P rozdzielają swoją administrację na wiele zainfekowanych węzłów, zamiast polegać na serwerze kontrolnym, który wysyła polecenia i odbiera skradzione dane. Bez scentralizowanego serwera botnety są na ogół trudniejsze do wykrycia i trudniej do zamknięcia.

„To, co było intrygujące w tej kampanii, to fakt, że na pierwszy rzut oka nie było żadnego połączenia z serwerem dowodzenia i kontroli (CNC)” – napisał Ophir Harpaz, badacz Guardicore Labs. „To było krótko po rozpoczęciu badań, kiedy zrozumieliśmy, że CNC nie istnieje”.

Botnet, którego naukowcy z Guardicore Labs nazwali FritzFrog, ma wiele innych zaawansowanych funkcji, w tym:

  • Ładunki w pamięci, które nigdy nie dotykają dysków zainfekowanych serwerów.
  • Co najmniej 20 wersji binarnych oprogramowania od stycznia.
  • Skupiamy się wyłącznie na infekowaniu bezpiecznej powłoki lub serwerów SSH, których administratorzy sieci używają do zarządzania maszynami.
  • Możliwość backdoora do zainfekowanych serwerów.
  • Lista kombinacji danych logowania używanych do wyszukania słabych haseł logowania, które są bardziej „obszerne” niż te w wcześniej widzianych botnetach.

Połącz to wszystko razem i …

Podsumowując, atrybuty wskazują na ponadprzeciętnego operatora, który zainwestował znaczne zasoby w stworzenie botnetu, który jest skuteczny, trudny do wykrycia i odporny na usunięcie. Nowa baza kodu – w połączeniu z szybko ewoluującymi wersjami i ładunkami działającymi tylko w pamięci – utrudnia wykrywanie złośliwego oprogramowania przez programy antywirusowe i inne zabezpieczenia punktów końcowych.

Konstrukcja peer-to-peer utrudnia naukowcom lub organom ścigania zamknięcie operacji. Typowym sposobem obalenia jest przejęcie kontroli nad serwerem dowodzenia. Ponieważ serwery zainfekowane FritzFrogiem zdecentralizowanej kontroli nad sobą nawzajem, ten tradycyjny środek nie działa. Peer-to-peer uniemożliwia również przeszukiwanie serwerów kontrolnych i domen w poszukiwaniu wskazówek na temat atakujących.

Harpaz powiedział, że badacze firmy po raz pierwszy natknęli się na botnet w styczniu. Powiedziała, że ​​od tego czasu celował w dziesiątki milionów adresów IP należących do agencji rządowych, banków, firm telekomunikacyjnych i uniwersytetów. Do tej pory botnetowi udało się zainfekować 500 serwerów należących do „znanych uniwersytetów w Stanach Zjednoczonych i Europie oraz firmy kolejowej”.

W pełni funkcjonalny

Po zainstalowaniu szkodliwy ładunek może wykonać 30 poleceń, w tym te, które uruchamiają skrypty i pobierają bazy danych, dzienniki lub pliki. Aby ominąć zapory ogniowe i ochronę punktów końcowych, napastnicy przesyłają polecenia przez SSH do klienta netcat na zainfekowanej maszynie. Następnie Netcat łączy się z „serwerem złośliwego oprogramowania”. (Wzmianka o tym serwerze sugeruje, że struktura peer-to-peer FritzFrog może nie być absolutna. Możliwe też, że „serwer złośliwego oprogramowania” jest hostowany na jednej z zainfekowanych maszyn, a nie na serwerze dedykowanym. Badacze Guardicore Labs nie byli „ t natychmiast dostępne do wyjaśnienia.)

Aby zinfiltrować i przeanalizować botnet, naukowcy opracowali program, który wymienia klucze szyfrujące używane przez botnet do wysyłania poleceń i odbierania danych.

„Ten program, który nazwaliśmy frogger, pozwolił nam zbadać naturę i zasięg sieci” – napisał Harpaz. „Korzystając z froggera, mogliśmy również dołączyć do sieci, wprowadzając własne węzły i uczestnicząc w ciągłym ruchu P2P”.

Przed ponownym uruchomieniem zainfekowanych maszyn FritzFrog instaluje publiczny klucz szyfrujący w pliku „Authorized_keys” serwera. Certyfikat działa jak backdoor na wypadek zmiany słabego hasła.

Wnioskiem ze środowych wniosków jest to, że administratorzy, którzy nie chronią serwerów SSH zarówno silnym hasłem, jak i certyfikatem kryptograficznym, mogą już być zainfekowani złośliwym oprogramowaniem, które jest trudne do wykrycia przez niewprawne oko. Raport zawiera odsyłacz do wskaźników włamania i programu, który może wykryć zainfekowane maszyny.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook