FritzFrog 新型 P2P 僵尸網絡，已侵入 500 多臺 SSH 服務器

Guardicore Labs的研究人員發現了一個復雜的點對點(P2P)僵尸網絡，該僵尸網絡自2020年1月一直活躍于全球SSH服務器。

該僵尸網絡被稱為FritzFrog，它被觀察到試圖使用暴力破解并傳播到數千萬個IP地址，包括政府辦公室，銀行，電信公司，醫療中心和教育機構的IP地址。據Guardicore稱，到目前為止，FritzFrog已侵入了美國和歐洲多所知名大學以及一家鐵路公司的至少500臺SSH服務器。

與其他P2P僵尸網絡一樣，FritzFrog沒有集中的命令和控制基礎設施。取而代之的是，控制權分散在網絡上的所有節點之間，每個節點都可以通過加密的通道定位系統以及相互通信和更新。安全專家認為，與集中式僵尸網絡相比，此類僵尸網絡比集中式僵尸網絡更難搗毀，因為它們沒有單一的故障點或控制點。

但是，多重功能使FritzFrog與其他僵尸網絡不同，并且比其他僵尸網絡更加危險。以GO編程語言編寫的惡意軟件完全在內存中運行。該惡意軟件不會在磁盤上留下任何痕跡，因為它可以組裝并執行有效負載并共享所有內存中的文件。

FritzFrog僵尸網絡上的每個節點都存儲著不斷更新的目標數據庫，入侵的計算機和對等數據庫。Guardicore的分析表明，僵尸網絡上沒有兩個節點試圖攻擊同一臺目標計算機。安全供應商說，他們使用某種“vote-casting”過程在網絡上均勻的分配目標。一旦進入系統，該惡意軟件就會丟棄一個后門，即使刪除了惡意軟件，攻擊者也有可能重新獲得對受感染機器的訪問權限。

Guardicore在周三的一份報告中表示，FritzFrog的P2P實現似乎也是從零開始開發的，并且不依賴任何已知協議，這表明它的開發者是高度復雜的。

Guardicore安全研究員Ophir Harpaz說：“ FritzFrog不是第一個無文件的bot，但它可能是第一個無文件的P2P僵尸網絡。該惡意軟件的完全內存中文件傳輸系統“是一種我們很少甚至從未在惡意軟件中見過的類似torrent的方式”

Harpaz說，Guardicore分析的FritzFrog示例顯示該惡意軟件當前正在執行Monero cryptominer。然而，她說，miner是攻擊者的首要任務的可能性很小。似乎更有可能的是，攻擊者感興趣的是獲得訪問和控制被入侵的SSH服務器，以便他們可以在地下市場中出售對這些服務器的訪問權限。

P2P Botnet-For-Hire

“另外，FritzFrog可能是一種P2P基礎設施即服務，” Harpaz說：“由于它足夠健壯，可以在受害機器上運行任何可執行文件或腳本，因此該僵尸網絡可以在暗網中出售，”并且可以用于分發惡意軟件或其他惡意活動。

根據Guardicore的說法，FritzFrog僵尸網絡上的每個節點都能夠發起暴力密碼猜測攻擊，試圖侵入SSH服務器。Guardicore用來強行進入系統的憑據字典比P2P僵尸網絡通常使用的字典要廣泛得多。

Harpaz說，破壞FritzFrog僵尸網絡可能具有挑戰性，因為網絡上的每個節點都有效地發揮著命令和控制服務器的作用。她說：“在常規的客戶端-服務器僵尸網絡中，刪除單個命令和控制服務器將使蜜蜂擺脫毒刺。而P2P網絡則并非如此。”

Guardicore發布了一個檢測腳本，組織可以使用該腳本來檢查SSH服務器上是否存在惡意軟件。

像FritzFrog這樣的P2P僵尸網絡仍然相對罕見。然而，它們是一個日益嚴重的威脅。P2P僵尸網絡最著名的例子之一是DDG，一個cryptomining僵尸網絡，從研究人員NetLab在2018年1月首次報道了僵尸網絡開始作為感染機器的一個典型，集中控制網絡。盡管它也使用靜態C2服務器，但是它一直在不斷發展，現在具有P2P通信功能。

Mozi，物聯網的僵尸網絡，研究人員在今年早些時候發現是另一個例子。該惡意軟件結合了來自三個較舊的IoT惡意軟件變體（Mirai，Gafgyt和IoT Reaper）的代碼，并且在高峰時已增長到約2,200個節點。