FritzFrog 新型 P2P 僵尸网络，已侵入 500 多台 SSH 服务器

Guardicore Labs的研究人员发现了一个复杂的点对点(P2P)僵尸网络，该僵尸网络自2020年1月一直活跃于全球SSH服务器。

该僵尸网络被称为FritzFrog，它被观察到试图使用暴力破解并传播到数千万个IP地址，包括政府办公室，银行，电信公司，医疗中心和教育机构的IP地址。据Guardicore称，到目前为止，FritzFrog已侵入了美国和欧洲多所知名大学以及一家铁路公司的至少500台SSH服务器。

与其他P2P僵尸网络一样，FritzFrog没有集中的命令和控制基础设施。取而代之的是，控制权分散在网络上的所有节点之间，每个节点都可以通过加密的通道定位系统以及相互通信和更新。安全专家认为，与集中式僵尸网络相比，此类僵尸网络比集中式僵尸网络更难捣毁，因为它们没有单一的故障点或控制点。

但是，多重功能使FritzFrog与其他僵尸网络不同，并且比其他僵尸网络更加危险。以GO编程语言编写的恶意软件完全在内存中运行。该恶意软件不会在磁盘上留下任何痕迹，因为它可以组装并执行有效负载并共享所有内存中的文件。

FritzFrog僵尸网络上的每个节点都存储着不断更新的目标数据库，入侵的计算机和对等数据库。Guardicore的分析表明，僵尸网络上没有两个节点试图攻击同一台目标计算机。安全供应商说，他们使用某种“vote-casting”过程在网络上均匀的分配目标。一旦进入系统，该恶意软件就会丢弃一个后门，即使删除了恶意软件，攻击者也有可能重新获得对受感染机器的访问权限。

Guardicore在周三的一份报告中表示，FritzFrog的P2P实现似乎也是从零开始开发的，并且不依赖任何已知协议，这表明它的开发者是高度复杂的。

Guardicore安全研究员Ophir Harpaz说：“ FritzFrog不是第一个无文件的bot，但它可能是第一个无文件的P2P僵尸网络。该恶意软件的完全内存中文件传输系统“是一种我们很少甚至从未在恶意软件中见过的类似torrent的方式”

Harpaz说，Guardicore分析的FritzFrog示例显示该恶意软件当前正在执行Monero cryptominer。然而，她说，miner是攻击者的首要任务的可能性很小。似乎更有可能的是，攻击者感兴趣的是获得访问和控制被入侵的SSH服务器，以便他们可以在地下市场中出售对这些服务器的访问权限。

P2P Botnet-For-Hire

“另外，FritzFrog可能是一种P2P基础设施即服务，” Harpaz说：“由于它足够健壮，可以在受害机器上运行任何可执行文件或脚本，因此该僵尸网络可以在暗网中出售，”并且可以用于分发恶意软件或其他恶意活动。

根据Guardicore的说法，FritzFrog僵尸网络上的每个节点都能够发起暴力密码猜测攻击，试图侵入SSH服务器。Guardicore用来强行进入系统的凭据字典比P2P僵尸网络通常使用的字典要广泛得多。

Harpaz说，破坏FritzFrog僵尸网络可能具有挑战性，因为网络上的每个节点都有效地发挥着命令和控制服务器的作用。她说：“在常规的客户端-服务器僵尸网络中，删除单个命令和控制服务器将使蜜蜂摆脱毒刺。而P2P网络则并非如此。”

Guardicore发布了一个检测脚本，组织可以使用该脚本来检查SSH服务器上是否存在恶意软件。

像FritzFrog这样的P2P僵尸网络仍然相对罕见。然而，它们是一个日益严重的威胁。P2P僵尸网络最著名的例子之一是DDG，一个cryptomining僵尸网络，从研究人员NetLab在2018年1月首次报道了僵尸网络开始作为感染机器的一个典型，集中控制网络。尽管它也使用静态C2服务器，但是它一直在不断发展，现在具有P2P通信功能。

Mozi，物联网的僵尸网络，研究人员在今年早些时候发现是另一个例子。该恶意软件结合了来自三个较旧的IoT恶意软件变体（Mirai，Gafgyt和IoT Reaper）的代码，并且在高峰时已增长到约2,200个节点。