FritzFrog é um botnet ponto a ponto (P2P) altamente sofisticado que vem violando ativamente servidores SSH em todo o mundo. Com sua infraestrutura descentralizada, distribui o controle entre todos os seus nós. Nesta rede sem um único point-of-failure, os pares se comunicam constantemente entre si para manter a rede ativa, resiliente e atualizada. A comunicação P2P é feita em um canal criptografado, usando AES para criptografia simétrica e o protocolo Diffie-Hellman para troca de chaves.
Essa foi a descoberta que os pesquisadores da Guardicore Labs revelaram, sobre uma nova botnet (rede de computadores “zumbis” infectados por um código malicioso) que promete dar dores de cabeça durante muito tempo. Do ponto de vista técnico, podemos deixar que ela é simplesmente “perfeita”, sendo inteligente e complexa o suficiente para fascinar qualquer entusiasta de segurança da informação.
Apesar das táticas agressivas de força bruta empregadas pelo FritzFrog para violar servidores SSH, ele é estranhamente eficiente ao mirar uma rede de maneira uniforme. A empresa Guardicore Labs tem monitorado o malware nos últimos meses.
O FritzFrog monta e executa a carga útil maliciosa inteiramente na memória, tornando-a volátil. Além disso, sua implementação P2P personalizada significa que não há um único servidor de comando enviando instruções. Portanto, é descentralizado e autossuficiente.
VEJA TAMBÉM: Durante a pandemia, ataques de DDoS saltam para 524%
O malware, que é escrito em Golang, é completamente volátil e não deixa rastros no disco. Ele cria um backdoor na forma de uma chave pública SSH, permitindo que os invasores tenham acesso contínuo às máquinas das vítimas. Desde o início da campanha, foram identificados mais de 20 versões diferentes do executável do malware.
Especializada em infectar servidores SSH, a rede maliciosa já teria tido sucesso em infectar cerca de 500 máquinas ao redor do mundo, incluindo “universidades conhecidas dos EUA e da Europa, além de uma companhia ferroviária”. Ainda não está claro como a infecção ocorre, mas tudo indica que ela é realizada através de força bruta em servidores cujas senhas são fracas demais e que não possuam um certificado criptográfico.
A Guardicore Labs fornece um script de detecção FritzFrog para ser executado em servidores SSH. Ele procura os seguintes indicadores:
Execução de processos nginx, ifconfig ou libexec cujo arquivo executável não existe mais no sistema de arquivos
Porta de escuta 1234
Além disso, o tráfego TCP na porta 5555 pode indicar o tráfego de rede para o pool Monero.
Senhas fracas são o facilitador imediato dos ataques de FritzFrog. É sempre recomendado escolher senhas fortes e usar autenticação de chave pública, que é muito mais seguro. Além disso, é crucial remover a chave pública do FritzFrog do arquivo authorized_keys, evitando que os invasores acessem a máquina. Roteadores e dispositivos IoT frequentemente expõem SSH e, portanto, são vulneráveis ao FritzFrog; considere alterar sua porta SSH ou desabilitar completamente o acesso SSH a eles se o serviço não estiver em uso.
Fontes: Olhar Digital, SempreUpdate e Guardicore.
Proteja seu futuro. Invista em cibersegurança hoje mesmo.
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!
