Guardicore Labs表示,P2P殭屍網路FritzFrog的主要攻擊目標,是SSH曝露在外的IoT裝置,組織應變更相關裝置SSH傳輸埠,或是關閉SSH的存取能力。(上圖為情境示意)

資安業者Guardicore Labs本周揭露了一個新型態的P2P殭屍網路FritzFrog,駭客撰寫了一個全新的惡意程式,企圖攻擊全球數百萬個裝置的IP位址,進而感染逾500臺SSH伺服器,利用它們替駭客開挖門羅幣(Monero)。

Guardicore Labs是在今年1月察覺FritzFrog的行動,這是一個以Golang撰寫的無檔案惡意程式,它以SSH公鑰的形式在受害系統上建立後門,以讓駭客能夠持續存取被駭系統,且這8個月以來,Guardicore Labs已發現20種不同的FritzFrog執行版本。

FritzFrog有許多特點,它採用無檔案技術,在記憶體中運作,因而無從追蹤。相較於其它只使用固定用戶名稱,來滲透IP裝置的P2P殭屍網路,FritzFrog使用了相對積極的暴力破解技術,它會持續更新攻擊對象與被駭機器的資料庫,而且使用了私有的P2P協定。

此外,FritzFrog相準了全球政府機構、教育機構、醫療中心、銀行與電信業者的數千萬個IP位址發動攻擊,而且成功地入侵了這些組織的逾500臺伺服器,受害者包括美國與歐洲的多所知名大學,還有一家鐵路公司。這些受害的伺服器藉由P2P協定相互聯繫及同步,就算有哪個節點遺失了,很快就會被其它節點遞補,以保持殭屍網路的資訊暢通。

FritzFrog不只儲存了被駭系統的登入憑證,也在系統上的授權金鑰檔案中新增了SSH-RSA公鑰,於是,即便組織變更了憑證的密碼,握有私鑰的駭客依舊可以繼續存取被駭系統。

駭客利用FritzFrog殭屍網路替他們挖掘門羅幣,不過,Guardicore Labs並未公布該惡意行動迄今的收益。

Guardicore Labs建議各大組織應該設定強密碼且使用公鑰認證,也呼籲受害系統記得從授權金鑰檔案中,移除FritzFrog所植入的公鑰。此外,將SSH曝露在外的IoT裝置則是FritzFrog主要的切入點,組織應變更相關裝置SSH傳輸埠,或是關閉SSH的存取能力。


熱門新聞

Advertisement