FritzFrog 是一個 P2P 僵尸網(wǎng)絡(luò)，每個失陷主機(jī)都是網(wǎng)絡(luò)中的一部分，能夠發(fā)送、接收、執(zhí)行命令來控制網(wǎng)絡(luò)中的機(jī)器。

典型特征

FritzFrog 主要通過 SSH 爆破進(jìn)行傳播，爆破成功后部署惡意軟件。惡意軟件在失陷主機(jī)上監(jiān)聽端口等待命令，支持的命令如下所示：

命令列表

研究人員認(rèn)為 FritzFrog 是“下一代”僵尸網(wǎng)絡(luò)，主要有以下特點(diǎn)：

• 持續(xù)更新，既是失陷主機(jī)又是 C&C 服務(wù)器
• 侵略性強(qiáng)，使用的字典很強(qiáng)大，其他 P2P 僵尸網(wǎng)絡(luò)如 DDG 只使用root一個用戶名
• 效率很高，攻擊目標(biāo)在節(jié)點(diǎn)間均勻分布
• 私有協(xié)議，使用的 P2P 協(xié)議是私有的，不依賴已知的 P2P 協(xié)議

FritzFrog v2

2020 年 8 月，F(xiàn)ritzFrog 被披露后不久，攻擊強(qiáng)度有所下降。但在 2021 年 12 月初，根據(jù)遙測數(shù)據(jù)發(fā)現(xiàn)其攻擊在驚人地增加。

攻擊數(shù)量

FritzFrog 從 SSH 爆破開始，釋放可執(zhí)行文件后監(jiān)聽 1234 端口，并且掃描 22 端口和 2222 端口。

本輪攻擊與此前的攻擊區(qū)別之一是惡意進(jìn)程名，此前使用的是 ifconfig或 nginx，而本次使用了 apache2。

受害者分析

研究人員開發(fā)了名為 Frogger的工具，利用僵尸網(wǎng)絡(luò)的基礎(chǔ)設(shè)施來收集失陷主機(jī)的相關(guān)信息。

攻擊節(jié)點(diǎn)數(shù)量

通過發(fā)現(xiàn)攻擊的計(jì)算機(jī) IP 地址和 Frogger提供的信息來收集受害者 IP 地址。

趨勢差異

這段時間內(nèi)，F(xiàn)ritzFrog 成功感染了 1500 多臺計(jì)算機(jī)。這些設(shè)備屬于各種不同的組織與行業(yè)，如醫(yī)療、教育和政府等，在歐洲電視頻道網(wǎng)絡(luò)、俄羅斯醫(yī)療設(shè)備制造商和東亞多所大學(xué)中都發(fā)現(xiàn)了失陷主機(jī)。

失陷主機(jī)分布

新功能

FritzFrog 使用 Golang 編寫，可在多種架構(gòu)上運(yùn)行。通過 UPX 加殼，進(jìn)程通常名為 ifconfig、nginx、apache2 或 php-fpm。FritzFrog 每天都在保持更新，有時甚至一天更新多次，有時是修復(fù) BUG 有時是增加功能。

WordPress

FritzFrog 會通過名為 Wordpress 和 WordpressTargetsTTL 的列表，實(shí)現(xiàn)跟蹤 WordPress 服務(wù)器的基礎(chǔ)設(shè)施。對應(yīng)的 P2P 命令為 put wordpress，代碼如下所示：

部分代碼

截至發(fā)布時，列表仍然為空。FritzFrog 實(shí)際上并不包含識別 WordPress 目標(biāo)的模塊，研究人員認(rèn)為是為新版本做準(zhǔn)備，用于信息泄露或者勒索軟件等。

Tor

FritzFrog 可以使用 Tor 代理轉(zhuǎn)發(fā) SSH 連接，通過本地端口 9050 使 FritzFrog 能夠通過 SSH 控制失陷主機(jī)。

失陷主機(jī)只能發(fā)現(xiàn)直連鄰居節(jié)點(diǎn)，以此來隱藏其他失陷主機(jī)。但該功能盡管存在，卻并未啟用。

SCP

最初時，F(xiàn)ritzFrog 使用 cat 命令部署惡意樣本。現(xiàn)在，F(xiàn)ritzFrog 會使用 SCP 進(jìn)行遠(yuǎn)程復(fù)制。攻擊者利用了開源的 Golang 編寫的 SCP庫，二者之間區(qū)別應(yīng)該不大，但 SCP 庫的作者是中國人。

黑名單

FritzFrog 有一個預(yù)制的不攻擊列表，攻擊者也可以通過 P2P 命令 putbleentry后期動態(tài)插入。

[ {"Address": "",
"Uname_match": "[redacted]dddz.me 3.10.0-693.2.2.el7.x86_64 #1 SMP Tue Sep 12 22:26:13 UTC 2017"},
{"Address": "",
"Uname_match": "[redacted]-1 4.4.0-151-generic #178-Ubuntu SMP Tue Jun 11 08: 30: 22 UTC 2019"},
{"Address": "",
"Uname_match": "[redacted].amzn2.x86_64 #1 SMP Mon Jun 18 22: 33: 07 UTC 2018 x86_64 GNU/Linux"},
{"Address": "",
"Uname_match": "[redacted]-generic #113-Ubuntu SMP Thu Jul 9 23: 41: 39 UTC 2020"},
{"Address": "",
"Uname_match": "[redacted] raspberrypi 4.4.32-v7+ #924 SMP Tue Nov 15 18: 11: 28 GMT 2016 armv7l GNU/Linux"},
{"Address": "",
"Uname_match": [redacted] 3.10.0-123.4.4.el7.x86_64 #1 SMP Fri Jul 25 05: 07: 12 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux"},
{"Address": "",
"Uname_match": [redacted] 4.18.0-193.28.1.el8_2.x86_64 #1 SMP Thu Oct 22 00: 20: 22 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux"},
{"Address": "[redacted].24: 22",
"Uname_match": ""},
{"Address": "[redacted].88: 22",
"Uname_match": ""},
{"Address": "[redacted].26: 22",
"Uname_match": ""}]

攻擊者試圖避免感染低端設(shè)備，如 Raspberry Pi 或 AWS 上較差的 EC2 主機(jī)。

列表中來自俄羅斯的 IP 地址，有一個開放了一系列端口并且存在各種各樣的漏洞，極有可能是一個蜜罐，另外一個 IP 地址指向開源僵尸網(wǎng)絡(luò)水坑。這表明，攻擊者積極逃避檢測分析。

兩個位于美國的 IP 地址，一個是馬里蘭大學(xué)的，另一個會在瀏覽時警告“好奇害死貓”。

好奇害死貓

歸因

新版本利用了使用 Golang 編寫的 scp 庫，倉庫持有人的位置位于上海，其中一位作者也位于上海。

FritzFrog 的錢包地址：(47BD6QNfkWf8ZMQSdqp2tY1AdG8ofsEPf4mcDp1YB4AX32hUjoLjuDaNrYzXk7cQcoPBzAuQrmQTgNgpo6XPqSBLnfsjaV)和礦池也與 Mozi 僵尸網(wǎng)絡(luò)活動有關(guān)，而 Mozi 的作者最近在中國被捕。

截至目前，大約 37% 的失陷主機(jī)位于中國。中國及其周邊地區(qū)的攻擊活動也是頻繁的，攻擊者很有可能是說中文的或者偽裝成與中國有關(guān)。

檢測工具

Akamai 提供了一個 FritzFrog 檢測腳本，如下所示：

工具截圖

參考來源：??Akamai??