安全企业Guardicore Labs本周披露了一个新形态的P2P僵尸网络FritzFrog,黑客撰写了一个全新的恶意程序,企图攻击全球数百万个设备的IP地址,进而感染超过500台SSH服务器,利用它们替黑客开挖门罗币(Monero)。
Guardicore Labs是在今年1月发现FritzFrog的行动,这是一个以Golang撰写的无文件恶意程序,它以SSH公钥的形式在受害系统上创建后门,以让黑客能够持续访问被黑系统,且这8个月以来,Guardicore Labs已发现20种不同的FritzFrog执行版本。
FritzFrog有许多特点,它采用无文件技术,在内存中运行,因而无从关注。相较于其它只使用固定用户名称,来渗透IP设备的P2P僵尸网络,FritzFrog使用了相对积极的暴力破解技术,它会持续更新攻击对象与被黑机器的数据库,而且使用了私有的P2P协议。
此外,FritzFrog相中了全球政府机构、教育机构、医疗中心、银行与电信企业的数千万个IP地址发动攻击,而且成功地入侵了这些组织的超过500台服务器,受害者包括美国与欧洲的多所知名大学,还有一家铁路公司。这些受害的服务器借由P2P协议相互联系及同步,就算有哪个节点遗失了,很快就会被其它节点递补,以保持僵尸网络的信息畅通。
FritzFrog不只存储了被黑系统的登录凭证,也在系统上的授权密钥文件中添加了SSH-RSA公钥,于是,即便组织变更了凭证的密码,握有私钥的黑客依旧可以继续访问被黑系统。
黑客利用FritzFrog僵尸网络替他们挖掘门罗币,不过,Guardicore Labs并未公布该恶意行动迄今的收益。
Guardicore Labs建议各大组织应该设置强密码且使用公钥认证,也呼吁受害系统记得从授权密钥文件中,移除FritzFrog所植入的公钥。此外,将SSH暴露在外的IoT设备则是FritzFrog主要的切入点,组织应变更相关设备SSH传输端口,或是关闭SSH的访问能力。