FritzFrog Botnet ataca milhões de servidores SSH

O botnet P2P de worming avançado e exclusivo derruba backdoors e criptominadores e está se espalhando globalmente.

Um botnet ponto a ponto (P2) chamado FritzFrog entrou em cena e os pesquisadores disseram que ele vem violando servidores SSH desde janeiro.

Os servidores SSH são softwares encontrados em roteadores e dispositivos IoT, entre outras máquinas, e usam o protocolo de shell seguro para aceitar conexões de computadores remotos. Os servidores SSH são comuns em ambientes corporativos e de consumo.

De acordo com uma análise do Guardicore Labs, o FritzFrog se propaga como um worm, tentando força bruta em credenciais de entidades como escritórios governamentais, instituições educacionais, centros médicos, bancos e empresas de telecomunicações. O FritzFrog tentou comprometer dezenas de milhões de máquinas até agora e violou com sucesso mais de 500 servidores no total, disse o pesquisador Ophir Harpaz da Guardicore. As vítimas incluem universidades conhecidas nos Estados Unidos e na Europa e uma empresa ferroviária; e os países mais infectados são China, Coreia do Sul e Estados Unidos.

“O FritzFrog executa um worm malware que é escrito em Golang e é modular, multi-threaded e sem arquivo, não deixando rastros no disco da máquina infectada”, explicou Harpaz, em uma postagem na quarta-feira. Uma vez que o servidor é comprometido, “o malware cria um backdoor na forma de uma chave pública SSH, permitindo que os invasores tenham acesso contínuo às máquinas das vítimas”.

Ele também pode eliminar cargas úteis adicionais, como criptominadores.

Nadando em uma lagoa única

FritzFrog é um botnet P2P, o que significa que tem maior resiliência do que outros tipos de botnets porque o controle é descentralizado e distribuído entre todos os nós; como tal, não existe um único ponto de falha e nenhum servidor de comando e controle (C2).

“FritzFrog é completamente proprietário; sua implementação P2P foi escrita do zero, nos ensinando que os invasores são desenvolvedores de software altamente profissionais ”, disse Harpaz. Ela acrescentou: “O protocolo P2P é totalmente proprietário, não dependendo de nenhum protocolo P2P conhecido, como μTP”.

No que diz respeito aos outros detalhes técnicos, a Guardicore analisou o botnet injetando seus próprios nós na mistura, dando aos pesquisadores a capacidade de participar do tráfego P2P em andamento e ver como ele foi construído.

Eles descobriram que quase tudo sobre o FritzFrog é único quando comparado com botnets P2P anteriores: Harpaz notou que ele não usa IRC como o IRCflu; ele opera na memória ao contrário de outro botnet de criptomineração, o DDG ; e é executado em máquinas baseadas em Unix, ao contrário de outros como o botnet InterPlanetary Storm.

Além disso, sua carga útil sem arquivo é incomum. Harpaz escreveu que os arquivos são compartilhados pela rede para infectar novas máquinas e executar novas cargas maliciosas em máquinas comprometidas – e que isso é feito completamente na memória usando blobs.

“Quando um nó A deseja receber um arquivo de seu par, o nó B, ele pode consultar o nó B sobre quais blobs ele possui usando o comando getblobstats”, afirma o pesquisador. “Então, o nó A pode obter um blob específico por seu hash, seja pelo comando P2P getbin ou por HTTP, com a URL http: //: 1234 /. Quando o nó A tem todos os blobs necessários, ele monta o arquivo usando um módulo especial chamado Assemble e o executa. ”

Assim que o malware é instalado em um alvo por este método, ele começa a escutar na porta 1234, esperando os comandos iniciais que sincronizarão a vítima com um banco de dados de pares de rede e alvos de força bruta. Assim que a sincronização inicial é concluída, FritzFrog é criativo na frente de detecção de evasão quando se trata de comunicação adicional de fora do botnet: “Em vez de enviar comandos diretamente pela porta 1234, o invasor se conecta à vítima por SSH e executa um cliente netcat na máquina da vítima ”, segundo a análise. “Deste ponto em diante, qualquer comando enviado por SSH será usado como entrada do netcat, transmitido ao malware.”

Enquanto isso, o botnet se atualiza constantemente com bancos de dados de alvos e máquinas violadas à medida que navega pela Internet.

“Os nós na rede FritzFrog mantêm contato próximo uns com os outros”, observou Harpaz. “Eles constantemente pingam uns aos outros para verificar a conectividade, trocam pontos e alvos e se mantêm sincronizados. Os nós participam de um processo inteligente de votação, que parece afetar a distribuição de alvos de força bruta pela rede. O Guardicore Labs observou que os alvos são distribuídos uniformemente, de modo que nenhum nó na rede tenta ‘quebrar’ a mesma máquina alvo. ”

Além disso, foi construído com um extenso dicionário de nomes e senhas violados para fins de força bruta, tornando-o altamente agressivo (“Em comparação, DDG, um botnet P2P recém-descoberto, usava apenas o nome de usuário ‘root’”, disse Harpaz).

O malware também gera vários threads para executar várias tarefas simultaneamente. Por exemplo, um endereço IP na fila de destino será alimentado para um módulo Cracker, que por sua vez fará a varredura da máquina conectada ao endereço IP e tentará aplicá-la à força bruta; uma máquina que foi violada com sucesso é colocada na fila para infecção por malware pelo módulo DeployMgmt; e uma máquina que foi infectada com sucesso será adicionada à rede P2P pelo módulo Owned.

Em caso de reinicialização do sistema comprometido, o malware deixa um backdoor, cujas credenciais de login são salvas pelos pares da rede.

“O malware adiciona uma chave pública SSH-RSA ao arquivo authorized_keys”, de acordo com a pesquisa. “Este backdoor simples permite que os invasores – que possuem a chave privada secreta – façam autenticação sem senha, no caso de a senha original ter sido modificada.”

O malware também monitora o estado do sistema de arquivos em máquinas infectadas, verificando periodicamente a disponibilidade de RAM, tempo de atividade, logins SSH e estatísticas de uso da CPU. Outros nós pegam essas informações e as usam para determinar se um criptominer deve ser executado ou não.

Se decidir executar um criptominer, o malware executa um processo separado denominado “libexec” para extrair a criptomoeda Monero com um spinoff do XMRig. Embora o botnet tenha sido usado até agora para essa infecção secundária, sua arquitetura significa que ele também pode instalar qualquer outro tipo de malware nos nós infectados, caso seus autores decidam fazê-lo.

Ao todo, FritzFrog é altamente avançado, disse Harpaz, mas há uma maneira simples de evitar um compromisso: “Senhas fracas são o facilitador imediato dos ataques de FritzFrog”, disse ela. “Recomendamos escolher senhas fortes e usar autenticação de chave pública, que é muito mais seguro.”

Os administradores também devem remover a chave pública do FritzFrog do arquivo authorized_keys, evitando que os invasores acessem a máquina, disse ela. E, “roteadores e dispositivos IoT geralmente expõem SSH e são, portanto, vulneráveis ​​ao FritzFrog; considere mudar sua porta SSH ou desabilitar completamente o acesso SSH a eles se o serviço não estiver em uso. ”

Fonte: https://threatpost.com/fritzfrog-botnet-millions-ssh-servers/158489/