Το FritzFrog είναι ένα εξελιγμένο peer-to-peer (P2P) botnet που παραβιάζει τους SSH servers. Με την αποκεντρωμένη υποδομή του, οι οποία κατανέμει τον έλεγχο σε όλους τους κόμβους που παραβιάζει καταφέρνει να διατηρεί το δίκτυο επιθέσεων του ζωντανό και ανθεκτικό.

Το FritzFrog έχει αρχίσει να ανησυχεί ιδιαίτερα του ερευνητές ασφάλειας οι οποίοι είπαν ότι από τον περασμένο Ιανουάριο έχει παραβιάσει εκατοντάδες SSH διακομιστές.

Η επικοινωνία P2P του botnet που έχει στήσει το FritzFrog γίνεται μέσω ενός κρυπτογραφημένου καναλιού, χρησιμοποιώντας AES για συμμετρική κρυπτογράφηση και το πρωτόκολλο Diffie-Hellman για ανταλλαγή κλειδιών.

Advertisements

Οι SSH servers είναι παντού

Οι SSH servers, με τους οποίους έχουμε ασχοληθεί ουκ ολίγε φορές (ειδικά με την ασφάλειά τους) είναι από τα ποιο σημαντικά λογισμικά που βρίσκονται σε routers, συσκευές IoT, servers, αφού παρέχει ένα ασφαλές, κρυπτογραφημένο shell για να δεχθεί συνδέσεις από απομακρυσμένους υπολογιστές αλλά και χρήστες.

Το FritzFrog ως P2P botnet, έχει μεγαλύτερη ανθεκτικότητα από άλλους τύπους botnets επειδή ο έλεγχος είναι αποκεντρωμένος και εξαπλώνεται μεταξύ όλων των κόμβων οπότε δεν διαθέτει ένα και μοναδικό «single-point-of-failure»

Μοναδικό στο είδος του και γραμμένο σε Golang

Όσον αφορά τις άλλες τεχνικές λεπτομέρειες, η Guardicore (βλέπε παραπομπές) ανέλυσε το botnet εισάγοντας δικούς του κόμβους στο δίκτυο του botnet, δίνοντας έτσι στους ερευνητές τη δυνατότητα να συμμετάσχουν στην τρέχουσα έρευνα για να δουν πως συμπεριφέρεται το FritzFrog και να δουν πώς δημιουργήθηκε.

Έτσι ανακάλυψαν ότι σχεδόν τα πάντα στο FritzFrog είναι μοναδικά σε σύγκριση με τα προηγούμενα P2P botnets:

  • Δεν χρησιμοποιεί IRC όπως IRCflu
  • Λειτουργεί στη μνήμη, χωρίς αρχεία, καθώς συγκεντρώνει και εκτελεί payloads απευθείας στη μνήμη
  • Τρέχει σε UNIX-based λειτουργικά σε αντίθεση με άλλα, όπως το InterPlanetary Storm Botnet.
  • Είναι γραμμένο σε Golang, και έχει modular, multi-threaded, fileless αρχιτεκτονική και δεν αφήνει ίχνη στο δίσκο.

Επιπλέον, το payload που χρησιμοποιεί, είναι ασυνήθιστο στα χρονικά των botnets, αφού τα δεδομένα δεν γράφονται στον δίσκο αλλά 7μοιράζονται μέσω του δικτύου τόσο για να μολύνονται νέες μηχανές και να τρέξουν νέα κακόβουλα payloads, όσο και ότι αυτό επιτυγχάνεται εντελώς στη μνήμη χρησιμοποιώντας binary blobs.

Εν τω μεταξύ, το botnet με κάθε επιτυχημένη παραβίαση ενημερώνει συνεχώς την βάση δεδομένων του ενώ σε περίπτωση επανεκκίνησης του παραβιασμένου συστήματος, το κακόβουλο λογισμικό αφήνει ένα απλό backdoor (προσθέτει ένα δημόσιο κλειδί SSH/RSA στο αρχείο εξουσιοδοτημένων κλειδιών), του οποίου τα διαπιστευτήρια σύνδεσης αποθηκεύονται και από τους υπόλοιπους παραβιασμένους κόμβους του δικτύου.

Advertisements

Επίσης το FritzFrog παρακολουθεί την κατάσταση του συστήματος αρχείων, ελέγχοντας περιοδικά τη διαθέσιμη μνήμη RAM, τον χρόνο λειτουργίας, τις συνδέσεις SSH και τα στατιστικά χρήσης CPU. Άλλοι κόμβοι λαμβάνουν αυτές τις πληροφορίες και τις χρησιμοποιούν για να καθορίσουν εάν θα εκτελέσουν ένα cryptominer ή όχι. Εάν αποφασίσει να εκτελέσει ένα cryptominer, το FritzFrog εκτελεί μια ξεχωριστή διεργασία που ονομάζεται libexec και ξεκινάει την εξόρυξη Monero.

Προστασία απο το FritzFrog;

Το FritzFrog είναι ένα εξελιγμένο και ιδιαίτερα επικίνδυνο botnet, αλλά υπάρχει ένας απλός τρόπος για να αποφευχθεί η όποια παραβίαση του server μας σύμφωνα με τους αναλυτές της Guardicore Labs :

  • να επιλέγετε ισχυρά συνθηματικά πρόσβασης στον SSH server
  • να χρησιμοποιείτε έλεγχο ταυτότητας δημόσιου κλειδιού (που είναι πολύ πιο ασφαλές)

Για τα παραπάνω διαβάστε τον εκτενή οδηγό μας : 10 απλά βήματα για ένα ασφαλές SSH

H Guardicore Labs παρέχει ένα αποθετήριο Github το οποίο περιέχει ένα script ανίχνευσης, καθώς και μια λίστα δεικτών πιθανής παραβίασης (IOC).

Παραπομπές: