FritzFrog 是一個 P2P 僵尸網絡，每個失陷主機都是網絡中的一部分，能夠發送、接收、執行命令來控制網絡中的機器。

典型特征

FritzFrog 主要通過 SSH 爆破進行傳播，爆破成功后部署惡意軟件。惡意軟件在失陷主機上監聽端口等待命令，支持的命令如下所示：

命令列表

研究人員認為 FritzFrog 是“下一代”僵尸網絡，主要有以下特點：

• 持續更新，既是失陷主機又是 C&C 服務器
• 侵略性強，使用的字典很強大，其他 P2P 僵尸網絡如 DDG 只使用root一個用戶名
• 效率很高，攻擊目標在節點間均勻分布
• 私有協議，使用的 P2P 協議是私有的，不依賴已知的 P2P 協議

FritzFrog v2

2020 年 8 月，FritzFrog 被披露后不久，攻擊強度有所下降。但在 2021 年 12 月初，根據遙測數據發現其攻擊在驚人地增加。

攻擊數量

FritzFrog 從 SSH 爆破開始，釋放可執行文件后監聽 1234 端口，并且掃描 22 端口和 2222 端口。

本輪攻擊與此前的攻擊區別之一是惡意進程名，此前使用的是 ifconfig或 nginx，而本次使用了 apache2。

受害者分析

研究人員開發了名為 Frogger的工具，利用僵尸網絡的基礎設施來收集失陷主機的相關信息。

攻擊節點數量

通過發現攻擊的計算機 IP 地址和 Frogger提供的信息來收集受害者 IP 地址。

趨勢差異

這段時間內，FritzFrog 成功感染了 1500 多臺計算機。這些設備屬于各種不同的組織與行業，如醫療、教育和政府等，在歐洲電視頻道網絡、俄羅斯醫療設備制造商和東亞多所大學中都發現了失陷主機。

失陷主機分布

新功能

FritzFrog 使用 Golang 編寫，可在多種架構上運行。通過 UPX 加殼，進程通常名為 ifconfig、nginx、apache2 或 php-fpm。FritzFrog 每天都在保持更新，有時甚至一天更新多次，有時是修復 BUG 有時是增加功能。

WordPress

FritzFrog 會通過名為 Wordpress 和 WordpressTargetsTTL 的列表，實現跟蹤 WordPress 服務器的基礎設施。對應的 P2P 命令為 put wordpress，代碼如下所示：

部分代碼

截至發布時，列表仍然為空。FritzFrog 實際上并不包含識別 WordPress 目標的模塊，研究人員認為是為新版本做準備，用于信息泄露或者勒索軟件等。

Tor

FritzFrog 可以使用 Tor 代理轉發 SSH 連接，通過本地端口 9050 使 FritzFrog 能夠通過 SSH 控制失陷主機。

失陷主機只能發現直連鄰居節點，以此來隱藏其他失陷主機。但該功能盡管存在，卻并未啟用。

SCP

最初時，FritzFrog 使用 cat 命令部署惡意樣本。現在，FritzFrog 會使用 SCP 進行遠程復制。攻擊者利用了開源的 Golang 編寫的 SCP庫，二者之間區別應該不大，但 SCP 庫的作者是中國人。

黑名單

FritzFrog 有一個預制的不攻擊列表，攻擊者也可以通過 P2P 命令 putbleentry后期動態插入。

[ {"Address": "",
"Uname_match": "[redacted]dddz.me 3.10.0-693.2.2.el7.x86_64 #1 SMP Tue Sep 12 22:26:13 UTC 2017"},
{"Address": "",
"Uname_match": "[redacted]-1 4.4.0-151-generic #178-Ubuntu SMP Tue Jun 11 08: 30: 22 UTC 2019"},
{"Address": "",
"Uname_match": "[redacted].amzn2.x86_64 #1 SMP Mon Jun 18 22: 33: 07 UTC 2018 x86_64 GNU/Linux"},
{"Address": "",
"Uname_match": "[redacted]-generic #113-Ubuntu SMP Thu Jul 9 23: 41: 39 UTC 2020"},
{"Address": "",
"Uname_match": "[redacted] raspberrypi 4.4.32-v7+ #924 SMP Tue Nov 15 18: 11: 28 GMT 2016 armv7l GNU/Linux"},
{"Address": "",
"Uname_match": [redacted] 3.10.0-123.4.4.el7.x86_64 #1 SMP Fri Jul 25 05: 07: 12 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux"},
{"Address": "",
"Uname_match": [redacted] 4.18.0-193.28.1.el8_2.x86_64 #1 SMP Thu Oct 22 00: 20: 22 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux"},
{"Address": "[redacted].24: 22",
"Uname_match": ""},
{"Address": "[redacted].88: 22",
"Uname_match": ""},
{"Address": "[redacted].26: 22",
"Uname_match": ""}]

攻擊者試圖避免感染低端設備，如 Raspberry Pi 或 AWS 上較差的 EC2 主機。

列表中來自俄羅斯的 IP 地址，有一個開放了一系列端口并且存在各種各樣的漏洞，極有可能是一個蜜罐，另外一個 IP 地址指向開源僵尸網絡水坑。這表明，攻擊者積極逃避檢測分析。

兩個位于美國的 IP 地址，一個是馬里蘭大學的，另一個會在瀏覽時警告“好奇害死貓”。

好奇害死貓

歸因

新版本利用了使用 Golang 編寫的 scp 庫，倉庫持有人的位置位于上海，其中一位作者也位于上海。

FritzFrog 的錢包地址：(47BD6QNfkWf8ZMQSdqp2tY1AdG8ofsEPf4mcDp1YB4AX32hUjoLjuDaNrYzXk7cQcoPBzAuQrmQTgNgpo6XPqSBLnfsjaV)和礦池也與 Mozi 僵尸網絡活動有關，而 Mozi 的作者最近在中國被捕。

截至目前，大約 37% 的失陷主機位于中國。中國及其周邊地區的攻擊活動也是頻繁的，攻擊者很有可能是說中文的或者偽裝成與中國有關。

檢測工具

Akamai 提供了一個 FritzFrog 檢測腳本，如下所示：

工具截圖

參考來源：??Akamai??