僵尸網(wǎng)絡(luò)，botnet，將大量主機(jī)感染僵尸程序，從而在僵尸服務(wù)端和僵尸客戶端之間形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。對(duì)于典型的僵尸網(wǎng)絡(luò)，主要的拆除手段是“斬首行動(dòng)”，通過奪取僵尸服務(wù)端的命令和控制權(quán)，從而癱瘓整個(gè)僵尸網(wǎng)絡(luò)。

　　記得多年前我的碩士論文，就是圍繞如何利用蜜罐技術(shù)，獲取僵尸主程序。但 P2P（Peer-to-peer, p2p）技術(shù)的引入，使得研究和分析僵尸網(wǎng)絡(luò)更加困難。

　　一、新型 P2P 僵尸網(wǎng)絡(luò)基本情況

　　8 月 19 日，安全公司 Guardicore 實(shí)驗(yàn)室的研究人員 Ophir Harpaz 發(fā)布消息，他們發(fā)現(xiàn)了一個(gè)之前從未被探查的僵尸網(wǎng)絡(luò)，該網(wǎng)絡(luò)使用異常先進(jìn)的措施，秘密地將全球數(shù)百萬臺(tái) SSH 服務(wù)器作為攻擊目標(biāo)。

　　這個(gè)僵尸網(wǎng)絡(luò)被 Guardicore 實(shí)驗(yàn)室命名為 FritzFrog。

　　Harpaz 表示，Guardicore 實(shí)驗(yàn)室是在今年 1 月份首次發(fā)現(xiàn)這個(gè)僵尸網(wǎng)絡(luò)的。從那以后，F(xiàn)ritzFrog 已經(jīng)鎖定了政府機(jī)構(gòu)、銀行、電信公司和大學(xué)的數(shù)千萬個(gè) IP 地址。截至 8 月份，僵尸網(wǎng)絡(luò)已經(jīng)成功地感染了 500 臺(tái)服務(wù)器，這些服務(wù)器服務(wù)于美國和歐洲的知名大學(xué)，以及一家鐵路公司。

　　FritzFrog 僵尸網(wǎng)絡(luò)使用專有軟件感染服務(wù)器，并將它們捕獲到一個(gè) P2P 網(wǎng)絡(luò)中，將其管理分散在許多受感染的節(jié)點(diǎn)上，而不是依賴控制服務(wù)器發(fā)送命令和接收竊取的數(shù)據(jù)。由于該網(wǎng)絡(luò)沒有指揮和控制(CNC)服務(wù)器，因此更難被發(fā)現(xiàn)，也更難關(guān)閉。

　　二、新型僵尸網(wǎng)絡(luò)的 5 個(gè)特點(diǎn)

　　1. 無文件。FritzFrog 沒有目錄操作和文件傳輸使用，它在內(nèi)存中組裝和執(zhí)行，不會(huì)接觸被感染服務(wù)器的磁盤。

　　2. 不斷更新。自 1 月份活動(dòng)開始以來，確定了 20 種不同版本的惡意軟件可執(zhí)行文件。

　　3. 不斷學(xué)習(xí)的字典。它擁有豐富的密碼本，不斷學(xué)習(xí)擴(kuò)展，其保留的弱密碼遠(yuǎn)比以前的僵尸網(wǎng)絡(luò)更龐大、更適用。

　　4. 高效。FritzFrog 感染的服務(wù)器相互分散控制，目標(biāo)在節(jié)點(diǎn)之間平均分配。并且，只感染網(wǎng)管用來管理計(jì)算機(jī)的安全 Shell 或 SSH 服務(wù)器，它以 SSH 公鑰的形式創(chuàng)建后門，使攻擊者能夠持續(xù)訪問受害計(jì)算機(jī)。

　　5. 專有。P2P 協(xié)議是完全專有的，不依賴諸如μTP 之類的已知 P2P 協(xié)議。

　　研究人員表示，基于以上 5 個(gè)特點(diǎn)，這是一個(gè)技術(shù)高超的專業(yè)團(tuán)隊(duì)投入了相當(dāng)多的資源建立的高效的、難以檢測(cè)的、有彈性的僵尸網(wǎng)絡(luò)。新的代碼庫與快速進(jìn)化的版本和僅在內(nèi)存中運(yùn)行的有效負(fù)載相結(jié)合，使得殺毒軟件和其他終端保護(hù)難以檢測(cè)到該惡意軟件。

　　三、新型僵尸網(wǎng)絡(luò)的攻擊進(jìn)程

　　成功破壞受害者后，F(xiàn)ritzFrog 它將開始運(yùn)行 UPX 打包的惡意軟件，該惡意軟件會(huì)立即刪除自身。

　　惡意軟件進(jìn)程以名稱 ifconfig 和 nginx 運(yùn)行，以最大程度地減少懷疑。

　　在啟動(dòng)過程中，惡意軟件開始在端口 1234 上偵聽，等待命令。

　　為了逃避防火墻和端點(diǎn)保護(hù)，F(xiàn)ritzFrog 采用了一種創(chuàng)新技術(shù)來逃避檢測(cè)。不是直接通過端口 1234 發(fā)送命令，而是通過以下方式將命令發(fā)送給受害者：攻擊者通過 SSH 連接到受害者，并在受害者計(jì)算機(jī)上運(yùn)行一個(gè) netcat 客戶端，該客戶端又連接到惡意軟件的服務(wù)器。從這點(diǎn)來看，F(xiàn)ritzFrog 的 P2P 結(jié)構(gòu)并不純粹。或者說，惡意軟件服務(wù)器可能托管在其中一臺(tái)受感染的機(jī)器上，而不是在專用服務(wù)器上。

　　惡意軟件可以執(zhí)行 30 條命令，包括運(yùn)行腳本并下載數(shù)據(jù)庫、日志或文件的命令。命令參數(shù)和響應(yīng)在指定的數(shù)據(jù)結(jié)構(gòu)中傳輸并序列化（“編組”）為 JSON 格式。在發(fā)送之前，數(shù)據(jù)使用 AES 對(duì)稱加密進(jìn)行加密并在 Base64 中進(jìn)行編碼。所涉及的節(jié)點(diǎn)使用 Diffie-Hellman 密鑰交換協(xié)議。

　　FritzFrog 網(wǎng)絡(luò)中的節(jié)點(diǎn)彼此保持緊密聯(lián)系。他們不斷地相互 ping 通，以驗(yàn)證連通性，交換對(duì)等方和目標(biāo)并保持彼此同步。

　　Guardicore 實(shí)驗(yàn)室觀察到受害者目標(biāo)均勻分布，因此網(wǎng)絡(luò)中沒有辦法通過兩個(gè)節(jié)點(diǎn)試圖“破解”同一臺(tái)目標(biāo)計(jì)算機(jī)。

　　四、新型僵尸網(wǎng)絡(luò)的分析與防范

　　為了滲透和分析僵尸網(wǎng)絡(luò)，研究人員開發(fā)了一個(gè)名為 frogger 的項(xiàng)目，通過“注入”我們自己的節(jié)點(diǎn)來加入網(wǎng)絡(luò)，并參與到正在進(jìn)行的 P2P 活動(dòng)中，試圖交換僵尸網(wǎng)絡(luò)用來發(fā)送命令和接收數(shù)據(jù)的加密密鑰。

　　研究發(fā)現(xiàn)，在受感染的機(jī)器重新啟動(dòng)之前，F(xiàn)ritzFrog 會(huì)在服務(wù)器的“authorized_keys”文件中安裝一個(gè)公開的加密密鑰。該證書在弱密碼被更改時(shí)充當(dāng)后門。

　　因此，SSH 服務(wù)器，如果沒有同時(shí)使用強(qiáng)密碼和加密證書保護(hù)，很有可能已經(jīng)感染了該惡意軟件。

　　解決方法：

　　1. 重啟。重啟后惡意軟件就會(huì)消失，但不能保證它已經(jīng)留了后門。

　　2. 使用 Guardicore Labs 提供的 FritzFrog 檢測(cè)腳本。

　　https://github.com/guardicore/labs_campaigns/tree/master/FritzFrog

總結(jié)

以上是生活随笔為你收集整理的突现新型P2P僵尸网络，已感染全世界百万台SSH服务器的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。