已经发现一种名为FritzFrog的无文件蠕虫，它通过SSH服务器将基于Linux的设备（公司服务器，路由器和IoT设备）与SSH服务器连接到P2P僵尸网络中，该网络的明显目的是挖掘加密货币。

但是，与此同时，该恶意软件在受感染的计算机上创建了后门，即使在此期间更改了SSH密码，攻击者也可以在以后访问它。

“与P2P和蠕虫（'cracker'）模块相比，当查看专用于该矿机的代码量时，我们可以自信地说，攻击者对获得访问漏洞服务器的兴趣更感兴趣，然后通过Monero获利， ” Guardicore实验室首席研究员说。

“对SSH服务器的这种访问和控制，比散布加密矿工的价值更高。另外，FritzFrog可能是一种P2P基础设施即服务。由于该僵尸程序足够强大，可以在受害机器上运行任何可执行文件或脚本，因此该僵尸程序可以在暗网中出售，并成为其运营商的精灵，可以实现其任何恶意愿望。”

蠕虫的目标

FritzFrog是一种模块化，多线程，无文件的SSH Internet蠕虫，它试图通过破坏公共IP地址来发展P2P僵尸网络，而忽略了为私有地址保存的已知范围。

僵尸网络的节点遍布全球：

“在拦截FritzFrog P2P网络时，我们已经看到由顺序IP地址组成的目标列表，从而对互联网中的IP范围进行了非常系统的扫描，” Harpaz解释说。

自2020年1月以来，它以政府机关，教育机构，医疗中心，银行和众多电信公司的IP地址为目标，成功突破了500多个SSH服务器。

先进的恶意软件

用Golang编写的恶意软件似乎是高度专业的软件开发人员的工作：

它是无文件的–它在内存中组装和执行有效负载，在没有工作目录的情况下运行，并且在节点之间共享和交换文件时也使用无文件方法
基于大量词典，它的暴力尝试是具有侵略性的
高效–网络中没有两个节点试图“破解”同一台目标计算机
它的P2P协议是专有的，是从头开始编写的（即，不是基于现有的实现）
它以添加到authorized_keys文件中的SSH-RSA公钥的形式创建后门。使用私钥，攻击者可以在需要时随时访问威胁计算机，而无需知道SSH密码
允许恶意软件在雷达下飞行的其他因素：

它的进程以ifconfig，nginx或libexec的名称运行（后者在Monero挖矿时使用）
通过在受感染机器上运行本地netcat客户端，它通过标准SSH端口建立其P2P命令的隧道。通过SSH发送的任何命令都将用作netcat的输入并传输给恶意软件
“即使采用这种新颖的发送命令方式，该过程仍将完全自动化并在恶意软件的控制下。即使在为新感染的主机创建此P2P通道之后，该恶意软件仍会继续向受害者提供命令。” Harpaz指出。

“但是，很可能将人工操作的命令发送给网络对等方。Guardicore Labs开发了一种拦截网络的工具，该工具能够按需发送和接收命令。该活动背后的参与者可以做完全相同的事情，而且操作员很有可能具有将命令手动发送到网络中某些（或所有）节点的手段。”

检查您的机器是否是僵尸网络的一部分

在运行SSH服务器的计算机上检测到一个加密矿工并不能证明它已被感染，因为该恶意软件会检查该计算机是否可以消耗大量的地雷，并确定是否可以进行开采。

管理员可以使用检测脚本来搜索上述无文件进程，恶意软件在端口1234上侦听和在端口5555上的TCP流量（到Monero池的网络流量）的证据。

重新启动受影响的机器/设备会从内存中删除恶意软件并终止恶意软件进程，但是由于受害者会立即“登录”到P2P网络及其登录凭据，因此它将立即被再次感染。

相反，管理员应：

1、终止恶意进程
2、将SSH密码更改为强密码并使用公共密钥身份验证
3、从authorized_keys文件中删除FritzFrog的公钥以“关闭”后门
4、如果不需要服务，请考虑更改路由器和IoT设备的SSH端口或完全禁用对它们的SSH访问