两年前，研究人员偶然发现了互联网上最有趣的僵尸网络之一：一个以前未被发现的由500台服务器组成的网络，其中许多服务器位于世界各地的知名大学和企业中，不受正常删除方法的影响。这些研究人员表示，在低调16个月后，被称为FritzFrog的僵尸网络又回来了，拥有新的功能和更大的受感染机器群。

SSH 服务器，小心

FritzFrog几乎可以针对任何带有 SSH 或安全外壳、服务器（云实例、数据中心服务器、路由器等）的对象，并安装一个从头开始编写的异常先进的有效负载。他们称其为“下一代”僵尸网络，因为它具有全套功能和精心设计的设计。

它是一种分散的点对点架构，将管理分布在许多受感染的节点而不是中央服务器之间，因此很难使用传统方法检测或删除它。它的一些高级特征包括：

• 永远不会接触受感染服务器磁盘的内存中有效负载
• 自 1 月以来至少有 20 个版本的软件二进制文件
• 只专注于感染  网络管理员用来管理机器的安全外壳服务器
• 后门受感染服务器的能力
• 用于找出比以前见过的僵尸网络更“广泛”的弱登录密码的登录凭据组合列表
• 到 2020年8 月，FritzFrog已将来自知名组织的约500台机器纳入其网络。报告发布后，P2P 减少了新感染的数量。从去年 12 月开始，Akamai 研究人员周四报告说，僵尸网络的感染率增加了十倍，现在已经激增至 1,500 多台机器。
• 
• 高级软件每天更新​​以修复错误，并且在过去几个月中实施了新功能和更激进的感染方法。它以最新形式感染的组织包括欧洲电视频道网络、俄罗斯医疗设备制造商、东亚多所大学以及医疗保健、高等教育和政府领域的其他组织。
• 

• 通过扫描 Internet 上的 SSH 服务器进行传播，当它找到一个时，它会尝试使用一系列凭据登录。成功后，僵尸网络软件会安装专有恶意软件，使其成为庞大的无头 P2P 网络中的无人机。每台服务器不断监听端口1234上的连接，同时通过端口22和 2222扫描数千个IP地址。当遇到其他受感染的服务器时，服务器会相互交换数据，以确保它们都运行最新的恶意软件版本并拥有目标和受感染机器的最新数据库。

  为了避开防火墙和端点保护软件，通过 SSH 将命令传送到受感染机器上的 netcat 客户端。Netcat 然后连接到托管在受感染机器上的“恶意软件服务器”，而不是中央服务器。