セキュリティ研究者は最近、洗練されたP2Pを発見しました (ピアツーピア) 少なくとも攻撃を実行したボットネット 500 政府および企業のSSHサーバー全体 2020. 吹き替えフリッツフロッグ, ボットネットは1月にGuardicoreLabsによって検出されました.
どうやら, ボットネットは、世界中のさまざまな組織に属するSSHサーバーに対してブルートフォース攻撃を実行しようとしました, 政府を含む, 教育, 金融, 医療および電気通信.
FritzFrogP2Pボットネットの詳細
研究者はどのようにしてFritzFrogを発見しましたか?
FritzFrogボットネットは、Guardicoreの研究者であるOphir Harpazが、いわゆるボットネット百科事典に取り組んでいるときに発見されました。, 自由に使用できる脅威トラッカー.
ボットネットは少なくとも違反しています 500 サーバー, それらのいくつかは著名な米国およびヨーロッパの大学に属しています. 研究者はFritzFrogボットネットを特定の脅威グループに帰することができませんでしたが, 彼らはいくつかの類似点を発見しました Rakosという名前の以前から知られているP2Pボットネット.
Rakosマルウェアは、SSHスキャンを介して被害者を検索するように設計されています, に登録された攻撃 2016. RakosボットネットコードはGo言語で記述されています. 当時, セキュリティ研究者は、マルウェアが永続的なインストールをセットアップできないと判断しました, むしろ標的のホストを繰り返し攻撃したい.
FritzFrogもGolang言語で書かれています. ボットネットは次のように記述されます “完全に揮発性“, ディスクに痕跡を残さない. また、SSH公開鍵の形式でバックドアを作成します, したがって、攻撃者に標的のマシンへの継続的なアクセスを許可します. キャンペーン開始以来, 研究者は特定することができました 20 マルウェア実行可能ファイルのさまざまなバージョン.
研究者はFritzFrog攻撃をどのように分析しましたか?
FritzFrogネットワークを傍受するには, チームはGolangでクライアントプログラムを開発しました, マルウェアとの鍵交換プロセスを実行します. クライアントプログラムは、コマンドを送信してその出力を受信することもできます. 研究者たちは彼らのプログラムをフロガーと名付けました, ボットネットネットワークの性質と範囲の調査で彼らを助けました. フロガーを使う, 彼ら “また、独自のノードを「注入」し、進行中のP2Pトラフィックに参加することで、ネットワークに参加することもできました。.”
洗練されたボットネットは、何百万ものIPアドレスを総当たり攻撃に成功させました, そのような政府を含む, 教育機関, 医療センター, 銀行や通信会社.
加えて, フリッツフロッグ “正常に違反しました 500 SSHサーバー, 米国の既知の高等教育機関のものを含む. およびヨーロッパ, と鉄道会社,” レポートによると.
企業や組織をFritzFrogから保護するにはどうすればよいですか?
このボットネットを可能にするのは、弱いパスワードの使用です. 研究者は、強力なパスワードと公開鍵認証の使用を推奨しています. また、authorized_keysファイルからFritzFrogの公開鍵を削除することも重要です。, これにより、攻撃者は標的のマシンにアクセスできなくなります。. さらに, ルーターやIoTデバイスはSSHを公開することが多く、FritzFrog攻撃に対して脆弱であることが判明しました。.
SSHポートを変更するか、SSHアクセスを完全に無効にすることをお勧めします, 特にサービスが使用されていない場合. もう1つのヒントは、プロセスベースのセグメンテーションルールを利用することです, ボットネットは、ほとんどのネットワークセキュリティソリューションがポートとプロトコルによってのみトラフィックを強制するという事実を悪用しているため.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: