FritzFrog：无文件P2P僵尸网络恶意软件分析

Guardicore安全研究人员发现了一个自2020年1月开始活跃的P2P僵尸网络——FritzFrog。该僵尸网络今年以来已经攻击了超过500个政府、教育、金融、医疗和电信等行业企业的SSH 服务器。

FritzFrog 是一个模块化、多线程、无文件的僵尸网络，是使用Golang语言编写的。该僵尸网络采用去中心化的基础设施，在所有节点中进行分布式控制。在这样的网络中不存在单点失效的问题，节点一直可以与其他节点通信来确保网络的活动性、弹性和更新。

除了使用专用的P2P 协议外，通信都是基于加密信道的，恶意软件可以在受害者系统中创建后门，来确保攻击者对系统的持续访问。

无文件P2P 僵尸网络

之前也有过用GoLang 语言开发的僵尸网络，比如Gandalf 和 GoBrut。但FritzFrog 与Rakos更加相似，通过暴力破解SSH 登陆凭证来入侵目标系统。

FritzFrog的一个特点就是无文件技术，即在内存中执行payload。一旦识别目标机器，恶意软件就会执行一系列任务，包括暴力破解、用恶意payload感染机器、将受害者加入到P2P 网络中。

为绕过检测，恶意软件会运行ifconfig和NGINX，并开始监听1234 端口来接受要执行的命令，包括同步受害者网络节点的数据库和暴力破解目标。这些传输给恶意软件的命令是通过一系列设计来绕过检测的循环。僵尸网络中的攻击节点首先通过SSH 登入受害者，然后使用NETCAT 工具建立到远程服务器的连接。

此外，payload文件是通过类似BitTorrent的节点来交换的，使用了分段文件传输方法来发送数据。当节点A想要接收来自其对等节点B的文件时，就可以使用命令getblobstats 来查询节点B。然后，节点A可以通过哈希来获取特定的blob，既可以通过P2P 命令getbin也可以通过HTTP网络和URL https://node_IP:1234/blob_hash。当节点A有了所有需要的blob后，就可以用名为Assemble的模块来装配文件并运行。

除了对命令响应加密和编码外，恶意软件还运行了一个名为libexec 的进程来进行门罗币挖矿，并通过添加公钥到SSH的authorized_keys 文件来在作为之后访问受害者的后门，因此之后的登陆无需再次输入密码。

攻击影响

攻击活动是从2020年1月9日开始的，其中恶意软件二进制文件迭代了20个不同的版本，累计攻击超过13000次。

除了攻击教育机构外，FritzFrog还暴力破解了属于政府机构、医疗中心、银行、电信公司的数百万IP 地址。Guardicore研究人员还发布了一个检测脚本来检查服务器是否被FritzFrog感染。

研究人员建议用户选择强密码和公钥认证，其安全系数更高。路由器和物联网设备常常会暴露SSH，因此会受到FritzFrog的影响。研究人员建议用户修改SSH端口或不再使用相关设备时彻底禁用SSH访问。

相关技术细节参见：https://www.guardicore.com/2020/08/fritzfrog-p2p-botnet-infects-ssh-servers/