研究人员发现了一个他们认为此前未被发现的僵尸网络，该网络使用异常先进的措施，秘密地将全球数百万台服务器作为攻击目标。

据安全公司Guardicore Labs的研究人员周三报道，僵尸网络使用从零开始编写的专有软件来感染服务器，并将它们隔离到一个对等网络中。P2P僵尸网络将其管理分散在许多受感染的节点上，而不是依赖控制服务器发送命令和接收窃取的数据。由于没有集中的服务器，僵尸网络通常更难被发现，也更难关闭。

Guardicore实验室的研究员Ophir Harpaz写道:“乍一看，这一活动的有趣之处在于，沐鸣开户测速并没有明显连接到指挥和控制(CNC)服务器。”“研究刚开始不久，我们就意识到CNC根本不存在。”

这个被Guardicore实验室的研究人员命名为FritzFrog的僵尸网络拥有许多其他高级功能，包括:

内存中的有效负载从未触及被感染服务器的磁盘。

自1月份以来，至少有20个版本的软件二进制代码。

唯一的关注点是感染网络管理员用来管理计算机的安全shell或SSH服务器。

能够后门感染服务器。

一个登录凭证组合列表，用来找出比以前看到的僵尸网络更“广泛”的弱登录密码。

把这些放在一起…

综合起来，这些属性表明了一个高于平均水平的操作人员已经投入了相当多的资源来建立一个有效的、难以检测的、有弹性的僵尸网络。新的代码库与快速进化的版本和仅在内存中运行的有效负载相结合，使得杀毒软件和其他终端保护难以检测到恶意软件。

p2p的设计使得研究人员和执法部门很难关闭这种操作。典型的拆除手段是夺取对命令和控制服务器的控制权。受FritzFrog感染的服务器相互分散控制，这种传统的方法不起作用。点对点(Peer-to-peer, p2p)也使得通过控制服务器和域名寻找攻击者线索变得不可能。

Harpaz说公司的研究人员第一次发现僵尸网络是在一月份。她说，沐鸣开户测速从那以后，它已经锁定了属于政府机构、银行、电信公司和大学的数千万个IP地址。到目前为止，僵尸网络已经成功地感染了500台服务器，这些服务器属于“美国和欧洲的知名大学，以及一家铁路公司”。

全功能的

一旦安装，恶意有效负载可以执行30条命令，包括那些运行脚本和下载数据库、日志或文件的命令。为了逃避防火墙和端点保护，攻击者通过SSH管道命令到受感染机器上的netcat客户端。然后Netcat连接到一个“恶意软件服务器”。(提到这个服务器意味着FritzFrog的对等结构可能不是绝对的。或者，“恶意软件服务器”可能托管在其中一台受感染的机器上，而不是在专用服务器上。Guardicore实验室的研究人员暂时无法澄清此事。)

为了渗透和分析僵尸网络，研究人员开发了一个程序，可以交换僵尸网络用来发送命令和接收数据的加密密钥。

“这个我们命名为frogger的项目，让我们能够调查这个网络的性质和范围，”Harpaz写道。“使用frogger，沐鸣开户测速我们也能够通过‘注入’我们自己的节点来加入网络，并参与到正在进行的P2P流量中。”

在受感染的机器重新启动之前，FritzFrog会在服务器的“authorized_keys”文件中安装一个公开的加密密钥。该证书在弱密码被更改时充当后门。

周三的调查结果表明，不同时使用强密码和加密证书保护SSH服务器的管理员可能已经感染了恶意软件，未经训练的眼睛很难发现这种恶意软件。该报告有一个连接的指标的妥协和一个程序，可以发现受感染的机器。