Akamai lancia l’allarme su FritzFrog. Scoperto nel 2020 e ricomparso lo scorso dicembre, il botnet fino ad ora ha compromesso oltre 1.500 host. FritzFrog è una botnet peer-to-peer. Cioè il suo server di comando e controllo non è limitato a una singola macchina centralizzata, ma può essere eseguito da ogni macchina nella sua rete distribuita. In altre parole, ogni host che esegue il processo malware diventa parte della rete. Ed è in grado di inviare, ricevere ed eseguire i comandi per controllare le macchine all’interno del network.
Come si propaga
FritzFrog si propaga tramite SSH. Una volta che trova le credenziali di un server, utilizza una semplice tecnica di forza bruta per stabilire una sessione SSH con la nuova vittima. Poi rilascia l’eseguibile del malware sull’host, che inizia ad ascoltare e ad aspettare i comandi. Questi comandi includono lo scambio di obiettivi, la condivisione dei dettagli delle macchine compromesse e il trasferimento di file. Così come l’esecuzione di script e payload binari.
Continua l’attacco del botnet P2P FritzFrog
FritzFrog è considerata un botnet di “prossima generazione” a causa di una combinazione di proprietà che la rendono unica nel panorama delle minacce:
- Costantemente aggiornata. I database degli obiettivi e delle macchine violate vengono scambiati senza soluzione di continuità.
- Aggressiva. Gli attacchi di forza bruta si basano su un ampio dizionario; in confronto, DDG, un’altra botnet P2P scoperta di recente, utilizzava solo il nome utente “root”.
- Efficiente. Gli obiettivi sono distribuiti uniformemente tra i nodi.
- Proprietaria. Il protocollo P2P è completamente proprietario, non si basa su nessun protocollo P2P conosciuto come μTP.
FritzFrog v2: la seconda ondata di attacchi e l’analisi dei server colpiti
Negli ultimi mesi Akamai ha iniziato a monitorare la nuova variante e ha osservato un aumento sorprendente del numero di attacchi FritzFrog, con un picco di 500 incidenti al giorno. Una differenza tra i primi e i nuovi attacchi FritzFrog è il nome del processo malevolo. Nella prima serie di attacchi, era chiamato ifconfig o nginx. Questa volta gli operatori di FritzFrog hanno scelto apache2.
Allarme Akamai per l’attacco del botnet P2P FritzFrog
Come parte dell’indagine sulla prima campagna, Akamai ha anche sviluppato uno strumento chiamato Frogger. Esso è in grado di raccogliere informazioni sugli host infetti, compreso il tempo di attività, l’hashrate, i peer e l’hasrate. Questo programma prende l’indirizzo IP di un nodo infetto e interroga l’host su un canale di comunicazione criptato per ricevere informazioni sul suo stato. In questo modo è possibile scoprire di più sul nodo e sugli altri a cui è connesso, sfruttando l’infrastruttura stessa della botnet.
L’analisi delle vittime
L’analisi delle vittime si è basata su due fonti: gli indirizzi IP delle macchine che hanno attaccato i sensori della rete Akamai e le informazioni ottenute da Frogger. Durante l’arco di tempo della seconda campagna, FritzFrog è riuscito ad infettare più di 1.500 host distinti. Si è trattato di macchine server appartenenti a organizzazioni di varie dimensioni e settori, tra cui sanità, istruzione superiore e governo.
Nuove capacità del malware
Il codice binario di FritzFrog è scritto in Golang e può essere compilato per essere eseguito su molte architetture diverse. Viene impacchettato utilizzando UPX e di solito viene eseguito sotto uno dei quattro nomi di processo: ifconfig, nginx, apache2 o php-fpm. FritzFrog viene aggiornato quotidianamente, a volte anche più volte al giorno, per implementare patch e aggiungere nuove funzionalità al malware.
Dove può colpire il botnet
Una nuova versione, ad esempio, ha implementato l’infrastruttura per il monitoraggio dei server WordPress. Inoltre, FritzFrog può effettuare il proxy delle connessioni SSH in uscita utilizzando la catena di proxy Tor impostando il proxy per le connessioni SSH sulla porta locale 9050; e utilizzare SCP per copiare sé stesso su un server remoto compromesso. Per farlo, il malware utilizza una libreria SCP pubblica scritta in Golang su GitHub.
Continua l’attacco del botnet P2P FritzFrog
La prima versione di FritzFrog implementava una blocklist per escludere specifiche macchine dall’essere violate dal modulo cracker (forza bruta). Tale lista era aggiornabile tramite inserimento dinamico con uno speciale comando P2P, putblentry. La nuova versione del malware inserisce diverse voci nell’hard code in anticipo. Alcune di esse specificano un nome Unix e altre un indirizzo IP, ma mai entrambi.
Prevenzione e mitigazione
Akamai Threat Labs ha aggiornato lo strumento di rilevamento di FritzFrog per gestire l’ultima versione del malware. L’azienda fornisce uno script di rilevamento FritzFrog da eseguire sui server SSH, per identificare i seguenti indicatori:
- Processi in esecuzione denominati nginx, ifconfig, php-fpm, apache2, o libexec, il cui file eseguibile non esiste più sul file system (come visto di seguito)
- Porta in ascolto 1234.
Come difendersi, dunque?
Akamai offre una serie di suggerimenti ad aziende e organizzazioni, per proteggere i propri sistemi dalla botnet Fritzfrog:
- Mantenere sempre i sistemi aggiornati e installare le patch;
- Implementare il login senza password servendosi di un solido password manager e di un sistema di rotazione;
- Abilitare il controllo del login di sistema con avvisi;
- Monitorare il file authorized_hosts su Linux;
- Configurare una lista esplicita di permessi per il login SSH;
- Disabilitare l’accesso SSH di root;
- Abilitare la protezione DNS basata su cloud di Akamai bloccando minacce e applicazioni non correlate al business come il mining di criptovalute.