Sofisticada botnet P2P dirigida a servidores SSH



&#39FritzFrog&#39 no tiene archivos, united states su propia implementación P2P patentada y ha violado al menos 500 servidores hasta ahora, dice Guardicore.

Los investigadores de Guardicore Labs han descubierto una sofisticada botnet peer-to-peer (P2P) dirigida activamente a servidores SSH en todo el mundo desde al menos enero de 2020.

Se ha observado que la botnet, denominada FritzFrog, intenta utilizar la fuerza bruta y propagarse a decenas de millones de direcciones IP, incluidas las que pertenecen a oficinas gubernamentales, bancos, empresas de telecomunicaciones, centros médicos e instituciones educativas. Hasta ahora, FritzFrog ha violado al menos 500 servidores SSH en varias universidades conocidas en los EE. UU. Y Europa y en una compañía ferroviaria, según Guardicore.

Al igual que otras redes de bots P2P, FritzFrog no tiene una infraestructura centralizada de comando y manage. En cambio, el manage se distribuye entre todos los nodos de la red, y cada nodo tiene la capacidad de apuntar a los sistemas y comunicarse y actualizarse entre sí a través de un canal cifrado. Los expertos en seguridad consideran que estas redes de bots son mucho más difíciles de eliminar que las centralizadas porque no tienen un solo punto de falla o de manage.

Sin embargo, múltiples funciones hacen que FritzFrog sea diferente y más peligroso que otras redes de bots. El malware, que está escrito en el lenguaje de programación GO, opera completamente en la memoria. El malware no deja rastros en el disco porque ensambla y ejecuta cargas útiles y comparte archivos en memoria.

Cada nodo de la botnet FritzFrog almacena una base de datos constantemente actualizada de objetivos, máquinas violadas y pares. El análisis de Guardicore muestra que no hay dos nodos en la botnet que intenten atacar la misma máquina objetivo. En su lugar, utilizan una especie de proceso de «emisión de votos» para distribuir los objetivos de manera uniforme a través de la pink, dice el proveedor de seguridad. Una vez en un sistema, el malware abre una puerta trasera que permite a los atacantes recuperar potencialmente el acceso a una máquina comprometida incluso si se elimina el malware.

Significativamente, la implementación P2P de FritzFrog también parece haber sido desarrollada desde cero y no se basa en protocolos conocidos, lo que sugiere que sus desarrolladores son altamente sofisticados, dijo Guardicore en un informe. reporte Miércoles.

«FritzFrog no es el primer bot sin archivos, pero podría ser el primer botnet P2P sin archivos», dice Ophir Harpaz, investigador de seguridad de Guardicore. El sistema de transferencia de archivos completamente en memoria del malware «es un enfoque comparable a un torrent que rara vez, y tal vez nunca, hemos visto anteriormente utilizado en malware».

Harpaz dice que las muestras de FritzFrog que Guardicore analizó muestran que el malware está ejecutando actualmente un criptominer Monero. Sin embargo, es muy poco possible que el minero sea una de las principales prioridades de los atacantes, dice. Lo que parece mucho más probable es que los atacantes estén interesados ​​en obtener acceso y controlar los servidores SSH violados para poder vender el acceso a estos servidores en mercados clandestinos.

Botnet P2P para alquiler

«Además, es posible que FritzFrog sea una infraestructura como servicio P2P», dice Harpaz. «Dado que es lo suficientemente robusto para ejecutar cualquier archivo ejecutable o secuencia de comandos en las máquinas víctimas, esta botnet puede venderse en la darknet» y utilizarse para distribuir malware u otra actividad maliciosa.

Según Guardicore, cada nodo de la botnet FritzFrog es capaz de lanzar ataques de adivinación de contraseñas por fuerza bruta para intentar ingresar a los servidores SSH. El diccionario de credenciales que usa Guardicore para abrirse paso por la fuerza bruta en los sistemas es más extenso que el que normalmente usan las botnets P2P.

La interrupción de la botnet FritzFrog puede ser un desafío, ya que cada nodo de la purple funciona efectivamente como un servidor de comando y control, dice Harpaz. «En las redes de bots cliente-servidor habituales, eliminar el servidor de comando y control único eliminará el aguijón de la abeja. Este no es el caso de las redes P2P», dice.

Guardicore ha lanzado un script de detección que las organizaciones pueden usar para verificar la presencia del malware en los servidores SSH.

Las redes de bots P2P como FritzFrog siguen siendo relativamente raras. Sin embargo, son una amenaza creciente. Uno de los ejemplos más notables de una botnet P2P es DDG, una botnet de criptominería que los investigadores de NetLab se informó por primera vez en enero de 2018. La botnet comenzó como una purple típica de máquinas infectadas controlada centralmente. Pero ha seguido evolucionando constantemente y ahora tiene una capacidad de comunicaciones P2P, aunque también utiliza un servidor C2 estático.

Mozi, una botnet de IoT que los investigadores de CenturyLink descubrieron a principios de este año es otro ejemplo. El malware combina código de tres variantes de malware de IoT más antiguas: Mirai, Gafgyt e IoT Reaper, y creció a unos 2.200 nodos en su punto máximo.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial