ГлавнаябезопасностьВредоносное ПО FritzFrog: атакует серверы Linux через SSH

Вредоносное ПО FritzFrog: атакует серверы Linux через SSH

Было обнаружено, что продвинутая кампания ботнета под названием FritzFrog нарушает работу серверов SSH по всему миру, по крайней мере, с января 2020 года.

Написанный на Golang, FritzFrog - это червь и ботнет, нацеленный на правительство, образование и финансы.

Вредоносное ПО FritzFrog

Атака уже охватила более 500 серверов в США и Европе, университетах и ​​железнодорожных компаниях.

Продвинутая природа FritzFrog заключается в проприетарном и анонимном приложении P2P, написанном с нуля.

Нет файлов, нет серверов, но так эффективно

Вредоносная программа собирает и выполняет вредоносную полезную нагрузку в памяти, делая ее нестабильной.

Кроме того, настраиваемое приложение P2P означает, что нет сервера управления и контроля (C&C), который отправляет инструкции FritzFrog.

Несмотря на агрессивную тактику грубой силы, используемую FritzFrog для взлома SSH-серверов, он на удивление эффективен для равномерного нацеливания на сеть.

Guardicore Labs отслеживает FritzFrog последние несколько месяцев, используя сеть приманок.

«Мы начали отслеживать активность кампании, которая со временем стабильно и значительно росла. времени, всего 13 20 атак на сеть Guardicore Global Sensors Network (GGSN). «С момента его первого появления мы определили XNUMX различных версий бинарного файла Fritzfrog», - говорится в сообщении компании. доклад составлено исследователем безопасности Офиром Харпазом.

В своем стремлении найти центральную конструкцию C&C, на которой работает ботнет, компания вскоре поняла, что такой вещи не существует.

Чтобы лучше понять FritzFrog и его возможности, Guardicore Labs разработала перехватчик, написанный на Golang, под названием frogger, который может участвовать в процессе обмена ключами вредоносных программ и получать и отправлять команды.

«Эта программа, которую мы назвали frogger, позволила нам изучить ее природу и масштабы. сеть. С помощью лягушки нам тоже удалось присоединиться сеть«Путем входа» в наши узлы и участия в текущей версии P2P », - говорится в отчете.

Таким образом, Guardicore Labs пришла к выводу, что кампания по вредоносному ПО имела прямой доступ к миллионам IP-адресов SSH, принадлежащих таким учреждениям, как медицинские центры. банки, телекоммуникационные компании, образовательные и государственные организации.

Согласно анализу исследователей Guardicore Labs, вредоносная программа уникальна, учитывая ее распределенный характер. В то время как другие бот-сети, такие как IRCflu, использовали IRC или DDG, работали с файлами, FritzFrog не проявляет ни одного из этих поведений.

В отчете, однако, признается: «Он имеет некоторое сходство - особенно с точки зрения названия и номеров версий - с Rakos, ботнетом P2P, написанным на Golang и проанализированным ESET в 2016 году». Guardicore Labs предоставила простой скрипт который можно использовать для обнаружения инфекций FritzFrog. И сценарий, и список IoC FritzFrog были опубликованы в GitHub.

"FritzFrog использует тот факт, что многие решения сетевой безопасности требуют трафика только через порты и протокол. Чтобы преодолеть эту технику секретности, правила сегментации на основе процессов могут легко предотвратить такие угрозы", Завершает свой отчет.

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ