0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

P2P僵尸网络已悄然入侵,积极针对于全球SSH服务器

如意 来源:超级盾订阅号 作者:超级盾 2020-08-26 15:02 次阅读

网络安全研究人员今天揭开了一个复杂的、多功能的P2P僵尸网络的面纱,它是用Golang语言编写,自2020年1月以来一直积极地针对SSH服务器。

根据Guardicore实验室发布一份报告,这个被称为“FritzFrog”的模块化、多线程和无文件的僵尸网络迄今已经侵入了500多台服务器,感染了美国和欧洲的知名大学和一家铁路公司。Guardicore的Ophir Harpaz说:

“凭借其分散的基础架构,它可以在所有节点之间分配控制权。” “在没有单一故障点的网络中,节点之间不断地相互通信,以保持网络的生命力,弹性和最新性。”

除了实现一个从头编写的专有P2P协议之外,通信是通过一个加密通道完成的,而恶意软件能够在受害者系统上创建后门,允许攻击者继续访问。

P2P僵尸网络已悄然入侵,积极针对于全球SSH服务器

无文件的P2P僵尸网络

虽然之前已经发现过基于GoLang的僵尸网络,如Gandalf和GoBrut,但FritzFrog似乎与Rakos有一些相似之处,Rakos是另一个基于GoLang的Linux后门,之前被发现通过强力SSH登录来渗透目标系统。

P2P僵尸网络已悄然入侵,积极针对于全球SSH服务器

P2P的恶意软件

但是,令FritzFrog独树一帜的是它没有文件,这意味着它可以在内存中组装和执行有效载荷,并且在执行暴力攻击时更具攻击性,同时还可以通过在僵尸网络内平均分配目标来提高效率。

一旦确定了目标计算机,该恶意软件将执行一系列任务,包括对其进行暴力破解,在成功突破后用恶意有效载荷感染计算机,并将受害者添加到P2P网络。

netcat ssh恶意软件

为了掩盖事实,该恶意软件以ifconfig和NGINX的身份运行,并开始侦听端口1234,以接收进一步的执行命令,包括那些将受害者与网络对等点和暴力目标的数据库同步的命令。

命令本身通过一系列避免被发现的圆环传送给恶意软件。僵尸网络中的攻击节点首先通过SSH锁定一个特定的受害者,然后使用NETCAT程序与远程服务器建立连接。

此外,有效载荷文件以BitTorrent样式在节点之间交换,采用分段文件传输方法来发送数据块。

“当节点A希望从其对等节点B接收文件时,它可以使用getblobstats命令查询节点B所拥有的Blob,” Harpaz说。

“然后,节点A可以通过它的散列(通过P2P命令getbin或通过HTTP,使用URL‘https:// node_IP:1234 / blob_hash)获得特定的blob。” 当节点A有必需的Blob时,它将使用名为Assemble的特殊模块来组装文件并运行它。”

P2P僵尸网络已悄然入侵,积极针对于全球SSH服务器

除了加密和编码命令响应,恶意软件运行一个单独的进程,名叫“libexec”,Monero硬币通过留下后门的方式是通过添加一个“authorized_keys文件的公钥SSH的以便登录身份验证,无需再次依赖密码即可进行身份验证。

自一月以来发现13,000次攻击

据网络安全公司称,该活动于1月9日开始,自首次出现以来,跨越20种不同版本的恶意软件二进制代码的攻击累计达到1.3万次。

除了针对教育机构以外,还发现FritzFrog暴力破解了属于政府组织,医疗中心,银行和电信公司的数百万个IP地址。

Guardicore Labs还提供了一个检测脚本,用于检查服务器是否已被FritzFrog感染,并共享其他泄露指标(IoC)。

“弱密码是促成FritzFrog攻击的直接推动者,”Harpaz总结道。我们建议选择强密码,并使用公钥认证,这样更安全。

路由器和物联网设备经常暴露SSH,因此容易受到FritzFrog的攻击——考虑改变它们的SSH端口,或者在服务不使用时完全禁用SSH访问。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    8954

    浏览量

    85069
  • P2P
    P2P
    +关注

    关注

    0

    文章

    152

    浏览量

    26655
  • 网络攻击
    +关注

    关注

    0

    文章

    330

    浏览量

    23412
  • SSH
    SSH
    +关注

    关注

    0

    文章

    184

    浏览量

    16282
收藏 人收藏

    评论

    相关推荐

    一款高性能内网穿透工具——P2link

    P2link是一款面向高性能需求的内网穿透工具,采用了P2P技术和穿透协议,各节点(用户或设备)可以直接进行数据传输和通信,而不需要通过中心服务器,能够实现局域网内部设备与外网的快速、高效连接
    的头像 发表于 11-08 10:59 72次阅读
    一款高性能内网穿透工具——<b class='flag-5'>P2</b>link

    打破网络边界:P2Link助力实现高效远程访问与内网穿透

    ,解决内网穿透难题,让用户轻松实现远程访问和管理。以下是一些典型的应用场景: 远程办公与文件访问: 在远程办公场景中,员工常常需要从外部网络访问公司内网中的文件服务器、数据库或办公系统。通过P2
    发表于 10-31 11:54

    飞凌嵌入式ElfBoard ELF 1板卡-常见网络服务搭建之SSH服务搭建

    ,常见的SSH客户端有 putty、SSH Secure Shell Client 等。SSH特点1.SSH是安全的加密协议,用于远程连接Linux
    发表于 09-29 09:48

    飞凌嵌入式ElfBoard ELF 1板卡-常见网络服务搭建之SSH服务搭建

    客户端,常见的SSH客户端有 putty、SSH Secure Shell Client 等。 SSH特点 1.SSH是安全的加密协议,用于远程连接Linux
    发表于 09-27 09:06

    光伏互感p1p2正确接线法

    光伏互感是一种用于测量和保护光伏系统中电流的设备。正确接线对于确保光伏系统安全、稳定和高效运行至关重要。 一、光伏互感P1P2接线原理 光伏互感
    的头像 发表于 08-22 09:12 990次阅读

    Cyw55572 FMAC如何支持STA+AP+P2P的模式?

    客户现在使用CYW55572,FMAC驱动,想知道如何实现STA+AP+P2P的模式,即同时可以使用STA模式,AP模式,P2P模式,麻烦帮忙指导,谢谢
    发表于 05-29 06:15

    &quot;上古&quot;僵尸网络病毒Ebury重启,目标瞄准服务器VPS供应商

    报告揭示,黑客利用泄露的数据库进行“撞库”,一旦成功获取目标主机权限,便会部署SSH脚本,尝试获取VPS中的密钥,以进一步入侵其他服务器。此外,黑客还利用未及时修复的软件漏洞提升权限。
    的头像 发表于 05-16 16:00 308次阅读

    OpenBSD中如何配置和使用虚拟专用服务器

    的硬件和网络配置,并记录下您的IP地址、用户名和密码等重要信息。 2、登录到服务器:使用SSH(Secure Shell)等远程连接工具,使用您的用户名和密码登录到您的OpenBSD
    的头像 发表于 03-28 17:17 374次阅读

    服务器入侵现象、排查和处理步骤

    近期有一个朋友的服务器(自己做了网站)好像遭遇了入侵,具体现象是: 服务器 CPU 资源长期 100%,负载较高。 服务器上面的服务不能正常
    发表于 03-22 10:56 1021次阅读
    <b class='flag-5'>服务器</b><b class='flag-5'>入侵</b>现象、排查和处理步骤

    是否可以将Laird LWB+ CYW43439和WHD用于WiFi Direct/P2P模式?

    我目前正在AP和STA模式下成功使用带有WHD的Laird LWB+ CYW43439。 但是现在我想在 WiFi Direct/P2P 模式下使用它。 是否可以将Laird LWB+ CYW43439和WHD用于WiFi Direct/P2P模式? 如果是这样,我需要什
    发表于 03-01 07:47

    服务器远程不上服务器怎么办?服务器无法远程的原因是什么?

    运营商。 2.服务器网络问题 解决办法:通过路由图来确定是哪里的线路出现丢包,联系服务器商切换线路。 二、服务器问题
    发表于 02-27 16:21

    宝塔面板修改服务器密码怎么设置?

    服务器 1、打开终端或SSH客户端。 2、使用以下命令连接到服务器(替换your_username和 your_server_ip 分别为你的用户名和
    的头像 发表于 01-24 17:27 1050次阅读

    何为网络时间服务器网络时间服务器如何同步虚拟时间?

    一致的时间。 在计算机网络中,时间同步对于确保准确的文件时间戳、安全证书验证以及日志记录非常重要。网络时间服务器允许计算机以一致的时间为基准进行操作,从而协调不同设备之间的任务和交互。
    的头像 发表于 01-16 15:10 689次阅读

    Ubuntu修改SSH默认端口指南

    修改SSH(Secure Shell)默认端口是一种增加系统安全性的方法,因为大多数攻击都是针对默认端口22进行的。以下是在Ubuntu系统上修改SSH默认端口的指南: 1、登录到服务器
    的头像 发表于 12-21 17:27 1412次阅读

    基于UDP协议的P2P打洞技术详解

    文字聊天等)。 P2P可以是一种通信模式、一种逻辑网络模型、一种技术、甚至一种理念。在P2P网络中(如右图所示),所有通信节点的地位都是对等的,每个节点都扮演着客户机和
    的头像 发表于 11-13 10:52 2669次阅读
    基于UDP协议的<b class='flag-5'>P2P</b>打洞技术详解