Sikkerhedsforskere for nylig opdagede en sofistikeret P2P (peer-to-peer) botnet, der i det mindste har udført angreb 500 regering og enterpise SSH-servere overalt 2020. Døbt FritzFrog, botnet blev opdaget af Guardicore Labs i januar.
Tilsyneladende, botnet har forsøgt at gennemføre brute-force-angreb mod SSH-servere, der hører til forskellige organisationer over hele verden, inklusive statslige, uddannelsesmæssige, finansiel, medicinsk og telekom.
FritzFrog P2P botnet i detaljer
Hvordan opdagede forskerne FritzFrog?
FritzFrog-botnet blev opdaget af Guardicores forskerforsker Ophir Harpaz, mens han arbejdede på det såkaldte Botnet Encyclopedia, en gratis-til-brug trusselspor.
Botnet er i det mindste brudt 500 servere, nogle af dem tilhører prominente amerikanske og europæiske universiteter. Mens forskerne ikke var i stand til at tilskrive FritzFrog botnet til en bestemt trusselgruppe, de opdagede nogen lighed med a tidligere kendt P2P-botnet ved navn Rakos.
Rakos-malware var designet til at søge efter ofre via SSH-scanninger, med angreb registreret i 2016. Rakos botnetkode blev skrevet på Go-sproget. Dengang, sikkerhedsforskere konstaterede, at malware ikke kunne konfigurere en vedvarende installation, men vil hellere angribe de målrettede værter gentagne gange.
FritzFrog er også skrevet på Golang-sproget. Botnet er beskrevet som “helt flygtig“, uden at efterlade spor på disken. Det skaber også en bagdør i form af en SSH-offentlig nøgle, og dermed give angribere løbende adgang til målrettede maskiner. Siden kampagnens begyndelse, forskerne var i stand til at identificere 20 forskellige versioner af eksekverbar malware.
Hvordan analyserede forskerne FritzFrog-angreb?
At aflytte FritzFrog-netværket, teamet udviklede et klientprogram i Golang, der udfører nøgleudvekslingsprocessen med malware. Klientprogrammet er også i stand til at sende kommandoer og modtage deres output. Forskerne navngav deres program frogger, og hjalp dem med at undersøge arten og omfanget af botnet-netværket. Brug af frogger, de “kunne også tilslutte sig netværket ved at "injicere" vores egne noder og deltage i den igangværende P2P-trafik.”
Det sofistikerede botnet har med succes brute-tvunget millioner af IP-adresser, inklusive sådanne af regeringer, uddannelsesinstitutioner, medicinske centre, banker og teleselskaber.
Desuden, FritzFrog “har med succes overtrådt 500 SSH-servere, inklusive dem fra kendte højere læreanstalter i U.S.A.. og Europa, og et jernbanevirksomhed,” hedder det i rapporten.
Hvordan kan virksomheder og organisationer forblive beskyttet mod FritzFrog?
Hvad der muliggør dette botnet er brugen af svage adgangskoder. Forskerne anbefaler at bruge stærke adgangskoder og bruge godkendelse af offentlig nøgle. Det er også vigtigt at fjerne FritzFrogs offentlige nøgle fra den autoriserede_taster-fil, hvilket ville forhindre angriberen i at få adgang til den målrettede maskine. Endvidere, det viser sig, at routere og IoT-enheder ofte udsætter SSH, hvilket gør dem sårbare over for FritzFrog-angreb.
Et godt råd er at ændre deres SSH-port eller deaktivere SSH-adgang helt, især hvis tjenesten ikke er i brug. Et andet tip er at bruge procesbaserede segmenteringsregler, da botnet udnytter det faktum, at de fleste netværkssikkerhedsløsninger kun håndhæver trafik med havn og protokol.