搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評(píng)論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會(huì)員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動(dòng)

      完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      P2P僵尸網(wǎng)絡(luò)已悄然入侵,積極針對(duì)于全球SSH服務(wù)器

      如意 ? 來源:超級(jí)盾訂閱號(hào) ? 作者:超級(jí)盾 ? 2020-08-26 15:02 ? 次閱讀

      網(wǎng)絡(luò)安全研究人員今天揭開了一個(gè)復(fù)雜的、多功能的P2P僵尸網(wǎng)絡(luò)的面紗,它是用Golang語言編寫,自2020年1月以來一直積極地針對(duì)SSH服務(wù)器。

      根據(jù)Guardicore實(shí)驗(yàn)室發(fā)布一份報(bào)告,這個(gè)被稱為“FritzFrog”的模塊化、多線程和無文件的僵尸網(wǎng)絡(luò)迄今已經(jīng)侵入了500多臺(tái)服務(wù)器,感染了美國和歐洲的知名大學(xué)和一家鐵路公司。Guardicore的Ophir Harpaz說:

      “憑借其分散的基礎(chǔ)架構(gòu),它可以在所有節(jié)點(diǎn)之間分配控制權(quán)。” “在沒有單一故障點(diǎn)的網(wǎng)絡(luò)中,節(jié)點(diǎn)之間不斷地相互通信,以保持網(wǎng)絡(luò)的生命力,彈性和最新性?!?/p>

      除了實(shí)現(xiàn)一個(gè)從頭編寫的專有P2P協(xié)議之外,通信是通過一個(gè)加密通道完成的,而惡意軟件能夠在受害者系統(tǒng)上創(chuàng)建后門,允許攻擊者繼續(xù)訪問。

      P2P僵尸網(wǎng)絡(luò)已悄然入侵,積極針對(duì)于全球SSH服務(wù)器

      無文件的P2P僵尸網(wǎng)絡(luò)

      雖然之前已經(jīng)發(fā)現(xiàn)過基于GoLang的僵尸網(wǎng)絡(luò),如Gandalf和GoBrut,但FritzFrog似乎與Rakos有一些相似之處,Rakos是另一個(gè)基于GoLang的Linux后門,之前被發(fā)現(xiàn)通過強(qiáng)力SSH登錄來滲透目標(biāo)系統(tǒng)。

      P2P僵尸網(wǎng)絡(luò)已悄然入侵,積極針對(duì)于全球SSH服務(wù)器

      P2P的惡意軟件

      但是,令FritzFrog獨(dú)樹一幟的是它沒有文件,這意味著它可以在內(nèi)存中組裝和執(zhí)行有效載荷,并且在執(zhí)行暴力攻擊時(shí)更具攻擊性,同時(shí)還可以通過在僵尸網(wǎng)絡(luò)內(nèi)平均分配目標(biāo)來提高效率。

      一旦確定了目標(biāo)計(jì)算機(jī),該惡意軟件將執(zhí)行一系列任務(wù),包括對(duì)其進(jìn)行暴力破解,在成功突破后用惡意有效載荷感染計(jì)算機(jī),并將受害者添加到P2P網(wǎng)絡(luò)。

      netcat ssh惡意軟件

      為了掩蓋事實(shí),該惡意軟件以ifconfig和NGINX的身份運(yùn)行,并開始偵聽端口1234,以接收進(jìn)一步的執(zhí)行命令,包括那些將受害者與網(wǎng)絡(luò)對(duì)等點(diǎn)和暴力目標(biāo)的數(shù)據(jù)庫同步的命令。

      命令本身通過一系列避免被發(fā)現(xiàn)的圓環(huán)傳送給惡意軟件。僵尸網(wǎng)絡(luò)中的攻擊節(jié)點(diǎn)首先通過SSH鎖定一個(gè)特定的受害者,然后使用NETCAT程序與遠(yuǎn)程服務(wù)器建立連接。

      此外,有效載荷文件以BitTorrent樣式在節(jié)點(diǎn)之間交換,采用分段文件傳輸方法來發(fā)送數(shù)據(jù)塊。

      “當(dāng)節(jié)點(diǎn)A希望從其對(duì)等節(jié)點(diǎn)B接收文件時(shí),它可以使用getblobstats命令查詢節(jié)點(diǎn)B所擁有的Blob,” Harpaz說。

      “然后,節(jié)點(diǎn)A可以通過它的散列(通過P2P命令getbin或通過HTTP,使用URL‘https:// node_IP:1234 / blob_hash)獲得特定的blob。” 當(dāng)節(jié)點(diǎn)A有必需的Blob時(shí),它將使用名為Assemble的特殊模塊來組裝文件并運(yùn)行它?!?/p>

      P2P僵尸網(wǎng)絡(luò)已悄然入侵,積極針對(duì)于全球SSH服務(wù)器

      除了加密和編碼命令響應(yīng),惡意軟件運(yùn)行一個(gè)單獨(dú)的進(jìn)程,名叫“l(fā)ibexec”,Monero硬幣通過留下后門的方式是通過添加一個(gè)“authorized_keys文件的公鑰SSH的以便登錄身份驗(yàn)證,無需再次依賴密碼即可進(jìn)行身份驗(yàn)證。

      自一月以來發(fā)現(xiàn)13,000次攻擊

      據(jù)網(wǎng)絡(luò)安全公司稱,該活動(dòng)于1月9日開始,自首次出現(xiàn)以來,跨越20種不同版本的惡意軟件二進(jìn)制代碼的攻擊累計(jì)達(dá)到1.3萬次。

      除了針對(duì)教育機(jī)構(gòu)以外,還發(fā)現(xiàn)FritzFrog暴力破解了屬于政府組織,醫(yī)療中心,銀行和電信公司的數(shù)百萬個(gè)IP地址。

      Guardicore Labs還提供了一個(gè)檢測腳本,用于檢查服務(wù)器是否已被FritzFrog感染,并共享其他泄露指標(biāo)(IoC)。

      “弱密碼是促成FritzFrog攻擊的直接推動(dòng)者,”Harpaz總結(jié)道。我們建議選擇強(qiáng)密碼,并使用公鑰認(rèn)證,這樣更安全。

      路由器和物聯(lián)網(wǎng)設(shè)備經(jīng)常暴露SSH,因此容易受到FritzFrog的攻擊——考慮改變它們的SSH端口,或者在服務(wù)不使用時(shí)完全禁用SSH訪問。

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
      • 服務(wù)器
        +關(guān)注

        關(guān)注

        12

        文章

        8701

        瀏覽量

        84562
      • P2P
        P2P
        +關(guān)注

        關(guān)注

        0

        文章

        151

        瀏覽量

        26592
      • 網(wǎng)絡(luò)攻擊
        +關(guān)注

        關(guān)注

        0

        文章

        329

        瀏覽量

        23375
      • SSH
        SSH
        +關(guān)注

        關(guān)注

        0

        文章

        178

        瀏覽量

        16226
      收藏 人收藏

        評(píng)論

        相關(guān)推薦

        光伏互感p1p2正確接線法

        光伏互感是一種用于測量和保護(hù)光伏系統(tǒng)中電流的設(shè)備。正確接線對(duì)于確保光伏系統(tǒng)安全、穩(wěn)定和高效運(yùn)行至關(guān)重要。 一、光伏互感P1P2接線原理 光伏互感
        的頭像 發(fā)表于 08-22 09:12 ?371次閱讀

        Cyw55572 FMAC如何支持STA+AP+P2P的模式?

        客戶現(xiàn)在使用CYW55572,FMAC驅(qū)動(dòng),想知道如何實(shí)現(xiàn)STA+AP+P2P的模式,即同時(shí)可以使用STA模式,AP模式,P2P模式,麻煩幫忙指導(dǎo),謝謝
        發(fā)表于 05-29 06:15

        "上古"僵尸網(wǎng)絡(luò)病毒Ebury重啟,目標(biāo)瞄準(zhǔn)服務(wù)器VPS供應(yīng)商

        報(bào)告揭示,黑客利用泄露的數(shù)據(jù)庫進(jìn)行“撞庫”,一旦成功獲取目標(biāo)主機(jī)權(quán)限,便會(huì)部署SSH腳本,嘗試獲取VPS中的密鑰,以進(jìn)一步入侵其他服務(wù)器。此外,黑客還利用未及時(shí)修復(fù)的軟件漏洞提升權(quán)限。
        的頭像 發(fā)表于 05-16 16:00 ?264次閱讀

        NTP網(wǎng)絡(luò)時(shí)鐘同步服務(wù)器(授時(shí)服務(wù)器)的幾種設(shè)置方法

        NTP網(wǎng)絡(luò)時(shí)鐘同步服務(wù)器(授時(shí)服務(wù)器)的幾種設(shè)置方法
        的頭像 發(fā)表于 04-29 11:28 ?6000次閱讀
        NTP<b class='flag-5'>網(wǎng)絡(luò)</b>時(shí)鐘同步<b class='flag-5'>服務(wù)器</b>(授時(shí)<b class='flag-5'>服務(wù)器</b>)的幾種設(shè)置方法

        OpenBSD中如何配置和使用虛擬專用服務(wù)器

        的硬件和網(wǎng)絡(luò)配置,并記錄下您的IP地址、用戶名和密碼等重要信息。 2、登錄到服務(wù)器:使用SSH(Secure Shell)等遠(yuǎn)程連接工具,使用您的用戶名和密碼登錄到您的OpenBSD
        的頭像 發(fā)表于 03-28 17:17 ?299次閱讀

        服務(wù)器入侵現(xiàn)象、排查和處理步驟

        近期有一個(gè)朋友的服務(wù)器(自己做了網(wǎng)站)好像遭遇了入侵,具體現(xiàn)象是: 服務(wù)器 CPU 資源長期 100%,負(fù)載較高。 服務(wù)器上面的服務(wù)不能正常
        發(fā)表于 03-22 10:56 ?957次閱讀
        <b class='flag-5'>服務(wù)器</b><b class='flag-5'>入侵</b>現(xiàn)象、排查和處理步驟

        是否可以將Laird LWB+ CYW43439和WHD用于WiFi Direct/P2P模式?

        我目前正在AP和STA模式下成功使用帶有WHD的Laird LWB+ CYW43439。 但是現(xiàn)在我想在 WiFi Direct/P2P 模式下使用它。 是否可以將Laird LWB+ CYW43439和WHD用于WiFi Direct/P2P模式? 如果是這樣,我需要什
        發(fā)表于 03-01 07:47

        服務(wù)器遠(yuǎn)程不上服務(wù)器怎么辦?服務(wù)器無法遠(yuǎn)程的原因是什么?

        運(yùn)營商。 2.服務(wù)器網(wǎng)絡(luò)問題 解決辦法:通過路由圖來確定是哪里的線路出現(xiàn)丟包,聯(lián)系服務(wù)器商切換線路。 二、服務(wù)器問題
        發(fā)表于 02-27 16:21

        如何遠(yuǎn)程登錄云服務(wù)器?登錄失敗是什么原因?

        ,使用的是ssh協(xié)議。 windows平臺(tái)下有putty,Xshell,SecureCRT等工具來遠(yuǎn)程連接linux服務(wù)器。 1、putty是一款非常輕量級(jí)的SSH連接工具,可以直接運(yùn)行,方便測試。
        發(fā)表于 02-01 15:32

        寶塔面板修改服務(wù)器密碼怎么設(shè)置?

        服務(wù)器 1、打開終端或SSH客戶端。 2、使用以下命令連接到服務(wù)器(替換your_username和 your_server_ip 分別為你的用戶名和
        的頭像 發(fā)表于 01-24 17:27 ?973次閱讀

        何為網(wǎng)絡(luò)時(shí)間服務(wù)器網(wǎng)絡(luò)時(shí)間服務(wù)器如何同步虛擬時(shí)間?

        一致的時(shí)間。 在計(jì)算機(jī)網(wǎng)絡(luò)中,時(shí)間同步對(duì)于確保準(zhǔn)確的文件時(shí)間戳、安全證書驗(yàn)證以及日志記錄非常重要。網(wǎng)絡(luò)時(shí)間服務(wù)器允許計(jì)算機(jī)以一致的時(shí)間為基準(zhǔn)進(jìn)行操作,從而協(xié)調(diào)不同設(shè)備之間的任務(wù)和交互。
        的頭像 發(fā)表于 01-16 15:10 ?464次閱讀

        Ubuntu修改SSH默認(rèn)端口指南

        修改SSH(Secure Shell)默認(rèn)端口是一種增加系統(tǒng)安全性的方法,因?yàn)榇蠖鄶?shù)攻擊都是針對(duì)默認(rèn)端口22進(jìn)行的。以下是在Ubuntu系統(tǒng)上修改SSH默認(rèn)端口的指南: 1、登錄到服務(wù)器
        的頭像 發(fā)表于 12-21 17:27 ?1129次閱讀

        基于UDP協(xié)議的P2P打洞技術(shù)詳解

        文字聊天等)。 P2P可以是一種通信模式、一種邏輯網(wǎng)絡(luò)模型、一種技術(shù)、甚至一種理念。在P2P網(wǎng)絡(luò)中(如右圖所示),所有通信節(jié)點(diǎn)的地位都是對(duì)等的,每個(gè)節(jié)點(diǎn)都扮演著客戶機(jī)和
        的頭像 發(fā)表于 11-13 10:52 ?2204次閱讀
        基于UDP協(xié)議的<b class='flag-5'>P2P</b>打洞技術(shù)詳解

        基于NAT穿透P2P即時(shí)通訊系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

        電子發(fā)燒友網(wǎng)站提供《基于NAT穿透P2P即時(shí)通訊系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf》資料免費(fèi)下載
        發(fā)表于 10-27 09:44 ?0次下載
        基于NAT穿透<b class='flag-5'>P2P</b>即時(shí)通訊系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

        輕量服務(wù)器怎么搭建ssh?

        在搭建輕量服務(wù)器時(shí),我們通常需要設(shè)置SSH登錄,以便能夠通過SSH客戶端遠(yuǎn)程連接到服務(wù)器。下面是一些簡單的步驟來幫助您搭建SSH。 第一步:
        的頭像 發(fā)表于 10-10 09:59 ?538次閱讀