Guardicore ออกรายงานวิเคราะห์มัลแวร์ขุดเหมือง Monero ตัวใหม่ชื่อ FritzFrog โจมตี Linux ผ่าน SSH มีลักษณะเป็น worm และ botnet มุ่งเป้าหมายโจมตีหน่วยงานรัฐ ภาคการศึกษา และสถาบันการเงิน พบโจมตีตั้งแต่เดือนมกราคม 2020 ในขณะนี้มีเหยื่อติดเชื้อราวๆ 500 เซิร์ฟเวอร์และมีความพยายามโจมตี brute force กว่าล้านไอพี
FritzFrog เป็นมัลแวร์ที่มีความซับซ้อน มีการสั่งงานกันผ่าน peer-to-peer (P2P) คือคุยกันระหว่าง FritzFrog แต่ละตัวโดยไม่มีต้องมี Command & Control (C&C) ที่เป็นศูนย์กลางรวมถึงมีการรัน payload ในเมมโมรี่ ทำให้ยากต่อการตรวจจับ
เมื่อ FritzFrog ยึดเครื่องผ่าน SSH สำเร็จ มันจะลบตัวเองทิ้ง และรันด้วยโปรเสส ชื่อ ifconfig และ nginx จากนั้นมันจะรอคำสั่งต่อไปผ่าน port 1234 ซึ่งตามปกติแล้ว port 1234 มีความผิดปกติและตรวจจับได้ง่าย แต่ FritzFrog ใช้วิธีเพิ่ม SSH authorized_keys เพื่อให้ผู้โจมตีส่งคำสั่งผ่าน SSH แล้วเปิด netcat client บนเครื่องของเหยื่อเพื่อส่งคำสั่งจาก SSH ไปยัง port 1234 ทำให้ตรวจจับไม่ได้จากไฟร์วอลโดยตรงว่ามีการส่งคำสั่งมาจากเน็ตเวิร์คผ่าน port 1234 นอกจากนี้ยังมีการรันโปรเสสชื่อ libexec เพื่อขุดเหมือง Monero
Guardicore ระบุวิธีตรวจจับ FritzFrog ไว้ดังต่อไปนี้
1 ใช้สคริป detect_fritzfrog.sh https://github.com/guardicore/labs_campaigns/blob/master/FritzFrog/detect_fritzfrog.sh จาก Guardicore ซึ่งจะตรวจหา nginx, ifconfig หรือ libexec ที่มีลักษณะเหมือนมาจาก FritzFrog รวมถึงตรวจสอบว่าเครื่องมีการ Listening บน port 1234 หรือไม่
2 ตรวจสอบ SSH key บนเครื่องว่ามี SSH ของผู้โจมตีหรือไม่ โดยดู SSH key ได้จาก https://github.com/guardicore/labs_campaigns/blob/master/FritzFrog/ssh_key.md
3 ตรวจสอบว่ามีการใช้ TCP port 5555 ซึ่งมักเป็นการเชื่อมต่อไปยัง Monero pool หรือไม่
ที่มา: guardicore.com และ bleepingcomputer.com