![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sicherheitsforscher von Guardicore haben FritzFrog entdeckt, ein ausgekl\u00fcgeltes Peer-to-Peer-Botnet (P2P), das seit Januar 2020 aktiv SSH-Server angreift. FritzFrog wurde in Golang geschrieben und ist sowohl ein Wurm als auch ein Botnetz, das auf Regierungs-, Bildungs- und Finanzsektoren abzielt.<\/p>\n
<\/p>\n
Mit seiner dezentralisierten Infrastruktur verteilt es die Kontrolle auf alle seine Knoten. In diesem Netzwerk ohne Single-Point-of-Failure kommunizieren die Peers st\u00e4ndig miteinander, um das Netzwerk lebendig, stabil und aktuell zu halten. Die P2P-Kommunikation erfolgt \u00fcber einen verschl\u00fcsselten Kanal, wobei AES f\u00fcr die symmetrische Verschl\u00fcsselung und das Diffie-Hellman-Protokoll f\u00fcr den Schl\u00fcsselaustausch verwendet wird.<\/p>\n Der fortschrittliche Charakter von FritzFrog liegt in seiner propriet\u00e4ren und dateifreien(file less) P2P-Implementierung, die von Grund auf neu geschrieben wurde. Die Malware, die in Golang geschrieben ist, ist v\u00f6llig fl\u00fcchtig und hinterl\u00e4sst keine Spuren auf der Festplatte infizierter Server. <\/p>\n Im Gegensatz zu anderen P2P-Botnets kombiniert FritzFrog eine Reihe von Eigenschaften, die es einzigartig machen: Neben der Eigenschaft, dass es file less arbeitet, da es Nutzlasten im Speicher zusammenstellt und ausf\u00fchrt, ist es aggressiver in seinen Brute-Force-Versuchen. Das Botnet bleibt aber dennoch effizient, da es die Ziele gleichm\u00e4\u00dfig im Netzwerk verteilt. Schlie\u00dflich ist das P2P-Protokoll von FritzFrog propriet\u00e4r und basiert nicht auf einer bestehenden Implementierung.<\/p>\n Um FritzFrog und seine F\u00e4higkeiten besser zu verstehen, entwarf Guardicore Labs eine in Golang geschriebenen Abfangsoftware namens Frogger, der am Schl\u00fcsselaustauschprozess von Malware teilnehmen und sowohl Befehle empfangen als auch senden konnte. Aus der Analyse folgerte Guardicore Labs, dass die Malware-Kampagne brachialen Zugriff auf Millionen von SSH-IP-Adressen von Institutionen wie medizinischen Zentren, Banken, Telekommunikationsunternehmen, Bildungs- und Regierungsorganisationen hatte.<\/p>\n Bisherige Erkenntnis: Die Malware schafft eine Hintert\u00fcr in Form eines \u00f6ffentlichen SSH-Schl\u00fcssels, die den Angreifern st\u00e4ndigen Zugriff auf die Rechner der Opfer erm\u00f6glicht. Seit Beginn der Kampagne haben die Sicherheitsforscher 20 verschiedene Versionen der ausf\u00fchrbaren Malware identifiziert.<\/p>\n Da die meisten Unternehmensfirewalls und Sicherheitsprodukte leicht Verdacht sch\u00f6pfen, wenn irregul\u00e4re Ports verwendet werden, verwendet FritzFrog einen nicht standardisierten Port nicht direkt. Die Malware versucht zun\u00e4chst, sich \u00fcber die SSH-Ports 22 oder 2222 mit einem Zielserver zu verbinden. Au\u00dferdem f\u00fcgt es die \u00f6ffentlichen SSH-Schl\u00fcssel des Angreifers zu den authorized_keys auf diesem angegriffenen Rechner hinzu.<\/p>\n Bei Erfolg startet FritzFrog dann auf dem kompromittierten Server einen Netcat-Client auf Port 1234, der eine weitere Verbindung mit dem Server der Malware herstellt. \"Von diesem Zeitpunkt an wird jeder \u00fcber SSH gesendete Befehl als Eingabe von netcat verwendet und somit an die Malware \u00fcbertragen\", schreiben die Sicherheitsforscher von Guardicore Labs. Die Details sind in diesem Beitrag<\/a> nachlesbar. <\/p>\n","protected":false},"excerpt":{"rendered":" Sicherheitsforscher von Guardicore haben FritzFrog entdeckt, ein ausgekl\u00fcgeltes Peer-to-Peer-Botnet (P2P), das seit Januar 2020 aktiv SSH-Server angreift. FritzFrog wurde in Golang geschrieben und ist sowohl ein Wurm als auch ein Botnetz, das auf Regierungs-, Bildungs- und Finanzsektoren abzielt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,426],"tags":[4305,1018,4328,4010],"class_list":["post-234726","post","type-post","status-publish","format-standard","hentry","category-linux","category-sicherheit","tag-linux","tag-malware","tag-sicherheit","tag-ssh"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234726","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=234726"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234726\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=234726"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=234726"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=234726"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die Sicherheitsforscher haben die Details ihrer Entdeckung in diesem Blog-Beitrag<\/a> beschrieben. FritzFrog ist ein hochentwickeltes Peer-to-Peer (P2P)-Botnet, das weltweit aktiv SSH-Server bef\u00e4llt. Der Angreifer hat es bereits geschafft, \u00fcber 500 Server, von Universit\u00e4ten und einer Eisenbahngesellschaft, in den USA und Europa zu infiltrieren. Aktuell ist wohl das Ziel Monero-Kryptogeld zu sch\u00fcrfen. <\/p>\n
![\"Infizierte](\"https:\/\/web.archive.org\/web\/20201222151737\/https:\/\/www.guardicore.com\/wp-content\/uploads\/2020\/08\/map-image.jpg\" "\\"Infizierte")
Infizierte Server, Quelle: Guadicore Labs<\/p>\nDezentrale Infrastruktur<\/h2>\n
Backdoor mit SSH-Zugang<\/h2>\n