FritzFrog 是一個(gè) P2P 僵尸網(wǎng)絡(luò)，每個(gè)失陷主機(jī)都是網(wǎng)絡(luò)中的一部分，能夠發(fā)送、接收、執(zhí)行命令來(lái)控制網(wǎng)絡(luò)中的機(jī)器。

典型特征

FritzFrog 主要通過(guò) SSH 爆破進(jìn)行傳播，爆破成功后部署惡意軟件。惡意軟件在失陷主機(jī)上監(jiān)聽端口等待命令，支持的命令如下所示：

命令列表

研究人員認(rèn)為 FritzFrog 是“下一代”僵尸網(wǎng)絡(luò)，主要有以下特點(diǎn)：

• 持續(xù)更新，既是失陷主機(jī)又是 C&C 服務(wù)器
• 侵略性強(qiáng)，使用的字典很強(qiáng)大，其他 P2P 僵尸網(wǎng)絡(luò)如 DDG 只使用root一個(gè)用戶名
• 效率很高，攻擊目標(biāo)在節(jié)點(diǎn)間均勻分布
• 私有協(xié)議，使用的 P2P 協(xié)議是私有的，不依賴已知的 P2P 協(xié)議

FritzFrog v2

2020 年 8 月，F(xiàn)ritzFrog 被披露后不久，攻擊強(qiáng)度有所下降。但在 2021 年 12 月初，根據(jù)遙測(cè)數(shù)據(jù)發(fā)現(xiàn)其攻擊在驚人地增加。

攻擊數(shù)量

FritzFrog 從 SSH 爆破開始，釋放可執(zhí)行文件后監(jiān)聽 1234 端口，并且掃描 22 端口和 2222 端口。

本輪攻擊與此前的攻擊區(qū)別之一是惡意進(jìn)程名，此前使用的是 ifconfig或 nginx，而本次使用了 apache2。

受害者分析

研究人員開發(fā)了名為 Frogger的工具，利用僵尸網(wǎng)絡(luò)的基礎(chǔ)設(shè)施來(lái)收集失陷主機(jī)的相關(guān)信息。

攻擊節(jié)點(diǎn)數(shù)量

通過(guò)發(fā)現(xiàn)攻擊的計(jì)算機(jī) IP 地址和 Frogger提供的信息來(lái)收集受害者 IP 地址。

趨勢(shì)差異

這段時(shí)間內(nèi)，F(xiàn)ritzFrog 成功感染了 1500 多臺(tái)計(jì)算機(jī)。這些設(shè)備屬于各種不同的組織與行業(yè)，如醫(yī)療、教育和政府等，在歐洲電視頻道網(wǎng)絡(luò)、俄羅斯醫(yī)療設(shè)備制造商和東亞多所大學(xué)中都發(fā)現(xiàn)了失陷主機(jī)。

失陷主機(jī)分布

新功能

FritzFrog 使用 Golang 編寫，可在多種架構(gòu)上運(yùn)行。通過(guò) UPX 加殼，進(jìn)程通常名為 ifconfig、nginx、apache2 或 php-fpm。FritzFrog 每天都在保持更新，有時(shí)甚至一天更新多次，有時(shí)是修復(fù) BUG 有時(shí)是增加功能。

WordPress

FritzFrog 會(huì)通過(guò)名為 Wordpress 和 WordpressTargetsTTL 的列表，實(shí)現(xiàn)跟蹤 WordPress 服務(wù)器的基礎(chǔ)設(shè)施。對(duì)應(yīng)的 P2P 命令為 put wordpress，代碼如下所示：

部分代碼

截至發(fā)布時(shí)，列表仍然為空。FritzFrog 實(shí)際上并不包含識(shí)別 WordPress 目標(biāo)的模塊，研究人員認(rèn)為是為新版本做準(zhǔn)備，用于信息泄露或者勒索軟件等。

Tor

FritzFrog 可以使用 Tor 代理轉(zhuǎn)發(fā) SSH 連接，通過(guò)本地端口 9050 使 FritzFrog 能夠通過(guò) SSH 控制失陷主機(jī)。

失陷主機(jī)只能發(fā)現(xiàn)直連鄰居節(jié)點(diǎn)，以此來(lái)隱藏其他失陷主機(jī)。但該功能盡管存在，卻并未啟用。

SCP

最初時(shí)，F(xiàn)ritzFrog 使用 cat 命令部署惡意樣本?，F(xiàn)在，F(xiàn)ritzFrog 會(huì)使用 SCP 進(jìn)行遠(yuǎn)程復(fù)制。攻擊者利用了開源的 Golang 編寫的 SCP庫(kù)，二者之間區(qū)別應(yīng)該不大，但 SCP 庫(kù)的作者是中國(guó)人。

黑名單

FritzFrog 有一個(gè)預(yù)制的不攻擊列表，攻擊者也可以通過(guò) P2P 命令 putbleentry后期動(dòng)態(tài)插入。

[ {"Address": "",
"Uname_match": "[redacted]dddz.me 3.10.0-693.2.2.el7.x86_64 #1 SMP Tue Sep 12 22:26:13 UTC 2017"},
{"Address": "",
"Uname_match": "[redacted]-1 4.4.0-151-generic #178-Ubuntu SMP Tue Jun 11 08: 30: 22 UTC 2019"},
{"Address": "",
"Uname_match": "[redacted].amzn2.x86_64 #1 SMP Mon Jun 18 22: 33: 07 UTC 2018 x86_64 GNU/Linux"},
{"Address": "",
"Uname_match": "[redacted]-generic #113-Ubuntu SMP Thu Jul 9 23: 41: 39 UTC 2020"},
{"Address": "",
"Uname_match": "[redacted] raspberrypi 4.4.32-v7+ #924 SMP Tue Nov 15 18: 11: 28 GMT 2016 armv7l GNU/Linux"},
{"Address": "",
"Uname_match": [redacted] 3.10.0-123.4.4.el7.x86_64 #1 SMP Fri Jul 25 05: 07: 12 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux"},
{"Address": "",
"Uname_match": [redacted] 4.18.0-193.28.1.el8_2.x86_64 #1 SMP Thu Oct 22 00: 20: 22 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux"},
{"Address": "[redacted].24: 22",
"Uname_match": ""},
{"Address": "[redacted].88: 22",
"Uname_match": ""},
{"Address": "[redacted].26: 22",
"Uname_match": ""}]

攻擊者試圖避免感染低端設(shè)備，如 Raspberry Pi 或 AWS 上較差的 EC2 主機(jī)。

列表中來(lái)自俄羅斯的 IP 地址，有一個(gè)開放了一系列端口并且存在各種各樣的漏洞，極有可能是一個(gè)蜜罐，另外一個(gè) IP 地址指向開源僵尸網(wǎng)絡(luò)水坑。這表明，攻擊者積極逃避檢測(cè)分析。

兩個(gè)位于美國(guó)的 IP 地址，一個(gè)是馬里蘭大學(xué)的，另一個(gè)會(huì)在瀏覽時(shí)警告“好奇害死貓”。

好奇害死貓

歸因

新版本利用了使用 Golang 編寫的 scp 庫(kù)，倉(cāng)庫(kù)持有人的位置位于上海，其中一位作者也位于上海。

FritzFrog 的錢包地址：(47BD6QNfkWf8ZMQSdqp2tY1AdG8ofsEPf4mcDp1YB4AX32hUjoLjuDaNrYzXk7cQcoPBzAuQrmQTgNgpo6XPqSBLnfsjaV)和礦池也與 Mozi 僵尸網(wǎng)絡(luò)活動(dòng)有關(guān)，而 Mozi 的作者最近在中國(guó)被捕。

截至目前，大約 37% 的失陷主機(jī)位于中國(guó)。中國(guó)及其周邊地區(qū)的攻擊活動(dòng)也是頻繁的，攻擊者很有可能是說(shuō)中文的或者偽裝成與中國(guó)有關(guān)。

檢測(cè)工具

Akamai 提供了一個(gè) FritzFrog 檢測(cè)腳本，如下所示：

工具截圖

參考來(lái)源：??Akamai??