Sicherheitsforscher haben kürzlich ein ausgeklügeltes P2P entdeckt (Peer-To-Peer) Botnetz, das zumindest Angriffe gegen ausgeführt hat 500 Regierung und Unternehmen SSH-Server im gesamten 2020. FritzFrog genannt, Das Botnetz wurde im Januar von Guardicore Labs entdeckt.
Offenbar, Das Botnetz hat versucht, Brute-Force-Angriffe gegen SSH-Server durchzuführen, die verschiedenen Organisationen weltweit gehören, einschließlich staatlicher, pädagogisch, Finanz-, Medizin und Telekommunikation.
FritzFrog P2P Botnetz im Detail
Wie haben die Forscher FritzFrog entdeckt??
Das FritzFrog-Botnetz wurde von Guardicores Forscher Ophir Harpaz entdeckt, als er an der sogenannten Botnet-Enzyklopädie arbeitete, ein kostenloser Bedrohungs-Tracker.
Das Botnetz hat zumindest gebrochen 500 Server, Einige von ihnen gehören prominenten US-amerikanischen und europäischen Universitäten an. Die Forscher konnten das FritzFrog-Botnetz zwar keiner bestimmten Bedrohungsgruppe zuordnen, sie entdeckten eine gewisse Ähnlichkeit mit a zuvor bekanntes P2P-Botnetz namens Rakos.
Die Rakos-Malware wurde entwickelt, um über SSH-Scans nach Opfern zu suchen, mit registrierten Angriffen in 2016. Rakos Botnet-Code wurde in der Go-Sprache geschrieben. Damals, Sicherheitsforscher stellten fest, dass die Malware keine dauerhafte Installation einrichten konnte, würde aber lieber die Zielhosts wiederholt angreifen.
FritzFrog ist auch in der Sprache Golang geschrieben. Das Botnetz wird beschrieben als “völlig flüchtig“, Hinterlässt keine Spuren auf der Festplatte. Außerdem wird eine Hintertür in Form eines öffentlichen SSH-Schlüssels erstellt, Auf diese Weise erhalten die Angreifer fortlaufenden Zugriff auf Zielcomputer. Seit Beginn der Kampagne, Die Forscher konnten identifizieren 20 verschiedene Versionen der ausführbaren Malware.
Wie haben die Forscher FritzFrog-Angriffe analysiert??
Das FritzFrog-Netzwerk abfangen, Das Team entwickelte ein Kundenprogramm in Golang, Dies führt den Schlüsselaustauschprozess mit der Malware durch. Das Client-Programm kann auch Befehle senden und deren Ausgaben empfangen. Die Forscher nannten ihr Programm Frogger, und half ihnen bei der Untersuchung der Art und des Umfangs des Botnetz-Netzwerks. Frogger benutzen, sie “konnten sich auch dem Netzwerk anschließen, indem sie unsere eigenen Knoten „injizierten“ und am laufenden P2P-Verkehr teilnahmen.”
Das hoch entwickelte Botnetz hat Millionen von IP-Adressen erfolgreich brutal erzwungen, einschließlich solcher von Regierungen, Bildungseinrichtungen, medizinische Zentren, Banken und Telekommunikationsunternehmen.
Außerdem, FritzFrosch “ist erfolgreich durchgebrochen 500 SSH-Server, einschließlich derjenigen bekannter Hochschuleinrichtungen in den USA. und Europa, und eine Eisenbahngesellschaft,” so der Bericht.
Wie können Unternehmen und Organisationen vor FritzFrog geschützt bleiben??
Was dieses Botnetz ermöglicht, ist die Verwendung schwacher Passwörter. Die Forscher empfehlen die Verwendung sicherer Kennwörter und die Authentifizierung mit öffentlichem Schlüssel. Es ist auch wichtig, den öffentlichen Schlüssel von FritzFrog aus der Datei authorized_keys zu entfernen, Dies würde die Angreifer daran hindern, auf die Zielmaschine zuzugreifen. Weiter, Es stellt sich heraus, dass Router und IoT-Geräte häufig SSH verfügbar machen, wodurch sie für FritzFrog-Angriffe anfällig werden.
Ein guter Rat ist, den SSH-Port zu ändern oder den SSH-Zugriff vollständig zu deaktivieren, vor allem, wenn der Dienst nicht genutzt wird. Ein weiterer Tipp ist die Verwendung prozessbasierter Segmentierungsregeln, Das Botnetz nutzt die Tatsache aus, dass die meisten Netzwerksicherheitslösungen den Datenverkehr nur über Port und Protokoll erzwingen.