僵尸網絡，botnet，將大量主機感染僵尸程序，從而在僵尸服務端和僵尸客戶端之間形成的一個可一對多控制的網絡。對于典型的僵尸網絡，主要的拆除手段是“斬首行動”，通過奪取僵尸服務端的命令和控制權，從而癱瘓整個僵尸網絡。

　　記得多年前我的碩士論文，就是圍繞如何利用蜜罐技術，獲取僵尸主程序。但 P2P（Peer-to-peer, p2p）技術的引入，使得研究和分析僵尸網絡更加困難。

　　一、新型 P2P 僵尸網絡基本情況

　　8 月 19 日，安全公司 Guardicore 實驗室的研究人員 Ophir Harpaz 發布消息，他們發現了一個之前從未被探查的僵尸網絡，該網絡使用異常先進的措施，秘密地將全球數百萬臺 SSH 服務器作為攻擊目標。

　　這個僵尸網絡被 Guardicore 實驗室命名為 FritzFrog。

　　Harpaz 表示，Guardicore 實驗室是在今年 1 月份首次發現這個僵尸網絡的。從那以后，FritzFrog 已經鎖定了政府機構、銀行、電信公司和大學的數千萬個 IP 地址。截至 8 月份，僵尸網絡已經成功地感染了 500 臺服務器，這些服務器服務于美國和歐洲的知名大學，以及一家鐵路公司。

　　FritzFrog 僵尸網絡使用專有軟件感染服務器，并將它們捕獲到一個 P2P 網絡中，將其管理分散在許多受感染的節點上，而不是依賴控制服務器發送命令和接收竊取的數據。由于該網絡沒有指揮和控制(CNC)服務器，因此更難被發現，也更難關閉。

　　二、新型僵尸網絡的 5 個特點

　　1. 無文件。FritzFrog 沒有目錄操作和文件傳輸使用，它在內存中組裝和執行，不會接觸被感染服務器的磁盤。

　　2. 不斷更新。自 1 月份活動開始以來，確定了 20 種不同版本的惡意軟件可執行文件。

　　3. 不斷學習的字典。它擁有豐富的密碼本，不斷學習擴展，其保留的弱密碼遠比以前的僵尸網絡更龐大、更適用。

　　4. 高效。FritzFrog 感染的服務器相互分散控制，目標在節點之間平均分配。并且，只感染網管用來管理計算機的安全 Shell 或 SSH 服務器，它以 SSH 公鑰的形式創建后門，使攻擊者能夠持續訪問受害計算機。

　　5. 專有。P2P 協議是完全專有的，不依賴諸如μTP 之類的已知 P2P 協議。

　　研究人員表示，基于以上 5 個特點，這是一個技術高超的專業團隊投入了相當多的資源建立的高效的、難以檢測的、有彈性的僵尸網絡。新的代碼庫與快速進化的版本和僅在內存中運行的有效負載相結合，使得殺毒軟件和其他終端保護難以檢測到該惡意軟件。

　　三、新型僵尸網絡的攻擊進程

　　成功破壞受害者后，FritzFrog 它將開始運行 UPX 打包的惡意軟件，該惡意軟件會立即刪除自身。

　　惡意軟件進程以名稱 ifconfig 和 nginx 運行，以最大程度地減少懷疑。

　　在啟動過程中，惡意軟件開始在端口 1234 上偵聽，等待命令。

　　為了逃避防火墻和端點保護，FritzFrog 采用了一種創新技術來逃避檢測。不是直接通過端口 1234 發送命令，而是通過以下方式將命令發送給受害者：攻擊者通過 SSH 連接到受害者，并在受害者計算機上運行一個 netcat 客戶端，該客戶端又連接到惡意軟件的服務器。從這點來看，FritzFrog 的 P2P 結構并不純粹。或者說，惡意軟件服務器可能托管在其中一臺受感染的機器上，而不是在專用服務器上。

　　惡意軟件可以執行 30 條命令，包括運行腳本并下載數據庫、日志或文件的命令。命令參數和響應在指定的數據結構中傳輸并序列化（“編組”）為 JSON 格式。在發送之前，數據使用 AES 對稱加密進行加密并在 Base64 中進行編碼。所涉及的節點使用 Diffie-Hellman 密鑰交換協議。

　　FritzFrog 網絡中的節點彼此保持緊密聯系。他們不斷地相互 ping 通，以驗證連通性，交換對等方和目標并保持彼此同步。

　　Guardicore 實驗室觀察到受害者目標均勻分布，因此網絡中沒有辦法通過兩個節點試圖“破解”同一臺目標計算機。

　　四、新型僵尸網絡的分析與防范

　　為了滲透和分析僵尸網絡，研究人員開發了一個名為 frogger 的項目，通過“注入”我們自己的節點來加入網絡，并參與到正在進行的 P2P 活動中，試圖交換僵尸網絡用來發送命令和接收數據的加密密鑰。

　　研究發現，在受感染的機器重新啟動之前，FritzFrog 會在服務器的“authorized_keys”文件中安裝一個公開的加密密鑰。該證書在弱密碼被更改時充當后門。

　　因此，SSH 服務器，如果沒有同時使用強密碼和加密證書保護，很有可能已經感染了該惡意軟件。

　　解決方法：

　　1. 重啟。重啟后惡意軟件就會消失，但不能保證它已經留了后門。

　　2. 使用 Guardicore Labs 提供的 FritzFrog 檢測腳本。

　　https://github.com/guardicore/labs_campaigns/tree/master/FritzFrog

總結

以上是生活随笔為你收集整理的突现新型P2P僵尸网络，已感染全世界百万台SSH服务器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。