Sicherheitsforscher von Guardicore haben FritzFrog entdeckt, ein ausgeklügeltes Peer-to-Peer-Botnet (P2P), das seit Januar 2020 aktiv SSH-Server angreift. FritzFrog wurde in Golang geschrieben und ist sowohl ein Wurm als auch ein Botnetz, das auf Regierungs-, Bildungs- und Finanzsektoren abzielt.
Anzeige
Die Sicherheitsforscher haben die Details ihrer Entdeckung in diesem Blog-Beitrag beschrieben. FritzFrog ist ein hochentwickeltes Peer-to-Peer (P2P)-Botnet, das weltweit aktiv SSH-Server befällt. Der Angreifer hat es bereits geschafft, über 500 Server, von Universitäten und einer Eisenbahngesellschaft, in den USA und Europa zu infiltrieren. Aktuell ist wohl das Ziel Monero-Kryptogeld zu schürfen.
Infizierte Server, Quelle: Guadicore Labs
Dezentrale Infrastruktur
Mit seiner dezentralisierten Infrastruktur verteilt es die Kontrolle auf alle seine Knoten. In diesem Netzwerk ohne Single-Point-of-Failure kommunizieren die Peers ständig miteinander, um das Netzwerk lebendig, stabil und aktuell zu halten. Die P2P-Kommunikation erfolgt über einen verschlüsselten Kanal, wobei AES für die symmetrische Verschlüsselung und das Diffie-Hellman-Protokoll für den Schlüsselaustausch verwendet wird.
Der fortschrittliche Charakter von FritzFrog liegt in seiner proprietären und dateifreien(file less) P2P-Implementierung, die von Grund auf neu geschrieben wurde. Die Malware, die in Golang geschrieben ist, ist völlig flüchtig und hinterlässt keine Spuren auf der Festplatte infizierter Server.
Anzeige
Im Gegensatz zu anderen P2P-Botnets kombiniert FritzFrog eine Reihe von Eigenschaften, die es einzigartig machen: Neben der Eigenschaft, dass es file less arbeitet, da es Nutzlasten im Speicher zusammenstellt und ausführt, ist es aggressiver in seinen Brute-Force-Versuchen. Das Botnet bleibt aber dennoch effizient, da es die Ziele gleichmäßig im Netzwerk verteilt. Schließlich ist das P2P-Protokoll von FritzFrog proprietär und basiert nicht auf einer bestehenden Implementierung.
Backdoor mit SSH-Zugang
Um FritzFrog und seine Fähigkeiten besser zu verstehen, entwarf Guardicore Labs eine in Golang geschriebenen Abfangsoftware namens Frogger, der am Schlüsselaustauschprozess von Malware teilnehmen und sowohl Befehle empfangen als auch senden konnte. Aus der Analyse folgerte Guardicore Labs, dass die Malware-Kampagne brachialen Zugriff auf Millionen von SSH-IP-Adressen von Institutionen wie medizinischen Zentren, Banken, Telekommunikationsunternehmen, Bildungs- und Regierungsorganisationen hatte.
Bisherige Erkenntnis: Die Malware schafft eine Hintertür in Form eines öffentlichen SSH-Schlüssels, die den Angreifern ständigen Zugriff auf die Rechner der Opfer ermöglicht. Seit Beginn der Kampagne haben die Sicherheitsforscher 20 verschiedene Versionen der ausführbaren Malware identifiziert.
Da die meisten Unternehmensfirewalls und Sicherheitsprodukte leicht Verdacht schöpfen, wenn irreguläre Ports verwendet werden, verwendet FritzFrog einen nicht standardisierten Port nicht direkt. Die Malware versucht zunächst, sich über die SSH-Ports 22 oder 2222 mit einem Zielserver zu verbinden. Außerdem fügt es die öffentlichen SSH-Schlüssel des Angreifers zu den authorized_keys auf diesem angegriffenen Rechner hinzu.
Bei Erfolg startet FritzFrog dann auf dem kompromittierten Server einen Netcat-Client auf Port 1234, der eine weitere Verbindung mit dem Server der Malware herstellt. "Von diesem Zeitpunkt an wird jeder über SSH gesendete Befehl als Eingabe von netcat verwendet und somit an die Malware übertragen", schreiben die Sicherheitsforscher von Guardicore Labs. Die Details sind in diesem Beitrag nachlesbar.
Anzeige