Le botnet FritzFrog attaque des millions de serveurs SSH

Un botnet peer-to-peer (P2) appelé FritzFrog est entré en scène et les chercheurs ont déclaré qu’il attaquait activement les serveurs SSH depuis le mois de Janvier.

Les serveurs SSH sont des morceaux de logiciels trouvés dans les routeurs et les appareils IoT, ainsi que d’autres machines, et ils utilisent le protocole Secure Shell pour accepter les connexions d’ordinateurs distants. Les serveurs SSH sont courants dans les environnements d’entreprise et du grand public.

Selon une analyse de Guardicore Labs, FritzFrog se propage comme un ver, forçant des informations d’identification par force brute dans des entités telles que les bureaux gouvernementaux, les établissements d’enseignement, les centres médicaux, les banques et les entreprises de télécommunications. FritzFrog a tenté de compromettre des dizaines de millions de machines jusqu’à présent et a réussi à pénétrer plus de 500 serveurs au total, a déclaré le chercheur de Guardicore, Ophir Harpaz. Les victimes incluent des universités bien connues aux États-Unis et en Europe, et une compagnie ferroviaire. Les pays les plus infectés sont la Chine, la Corée du Sud et les États-Unis.

“FritzFrog exécute un ver qui est écrit en Golang, et est modulaire, multi-thread et sans fichier, ne laissant aucune trace sur le disque de la machine infectée”, a expliqué Harpaz, dans un communiqué. Une fois le serveur compromis, «le malware crée une porte dérobée sous la forme d’une clé publique SSH, permettant aux attaquants d’accéder en permanence aux machines victimes».

Il peut également supprimer des payloads supplémentaires, telles que des cryptomineurs.

FritzFrog est unique

FritzFrog est un botnet P2P, ce qui signifie qu’il a une plus grande résilience que les autres types de botnets car le contrôle est décentralisé et réparti entre tous les nœuds; en tant que tel, il n’y a pas de point de défaillance unique ni de serveur de commande et de contrôle (C2).

«FritzFrog est entièrement propriétaire; sa mise en œuvre P2P a été écrite à partir de zéro, nous apprenant que les pirates sont des développeurs de logiciels hautement professionnels », a déclaré Harpaz. Elle a ajouté: «Le protocole P2P est entièrement propriétaire, ne reposant sur aucun protocole P2P connu tel que μTP.»

malware

En ce qui concerne les autres détails techniques, Guardicore a analysé le botnet en injectant ses propres nœuds dans le mélange, donnant aux chercheurs la possibilité de participer au trafic P2P en cours et de voir comment il a été construit.

Ils ont découvert que presque tout à propos de FritzFrog est unique par rapport aux anciens botnets P2P: Harpaz a noté qu’il n’utilise pas IRC comme IRCflu; il fonctionne en mémoire contrairement à un autre botnet de cryptomining, DDG; et fonctionne sur des machines basées sur Unix contrairement à d’autres comme le botnet InterPlanetary Storm.

De plus, son payload sans fichier est inhabituelle. Harpaz a écrit que les fichiers sont partagés sur le réseau pour à la fois infecter de nouvelles machines et exécuter de nouvelles charges utiles(payloads) malveillantes sur celles qui sont compromises et que cela se fait entièrement en mémoire à l’aide de blobs.

«Lorsqu’un nœud A souhaite recevoir un fichier de son homologue, le nœud B, il peut interroger le nœud B sur les blobs qu’il possède en utilisant la commande getblobstats», selon le chercheur. «Ensuite, le nœud A peut obtenir un blob spécifique par son hachage, soit par la commande P2P getbin ou via HTTP, avec l’URL http://:1234/. Lorsque le nœud A a tous les objets blob nécessaires, il assemble le fichier à l’aide d’un module spécial nommé Assemble et l’exécute. »

fritzfrog

Une fois que le malware est installé sur une cible par cette méthode, il commence à écouter sur le port 1234, en attendant les commandes initiales qui synchroniseront la victime avec une base de données de pairs du réseau et de cibles de force brute.

Une fois cette synchronisation initiale terminée, FritzFrog fait preuve de créativité sur le front de la détection d’évasion en ce qui concerne la communication supplémentaire depuis l’extérieur du botnet: «Au lieu d’envoyer des commandes directement sur le port 1234, l’attaquant se connecte à la victime via SSH et exécute un client netcat sur la machine de la victime », selon l’analyse. «À partir de ce moment, toute commande envoyée via SSH sera utilisée comme entrée de netcat, donc transmise au malware.»

Pendant ce temps, le botnet se met constamment à jour avec des bases de données de cibles et de machines piratées au fur et à mesure qu’il parcourt Internet.

«Les nœuds du réseau FritzFrog restent en contact étroit les uns avec les autres», a noté Harpaz. «Ils se ping constamment pour vérifier la connectivité, échanger leurs pairs et leurs cibles et se synchroniser. Les nœuds participent à un processus de vote intelligent, qui semble affecter la distribution des cibles de force brute sur le réseau. Guardicore Labs a observé que les cibles sont uniformément réparties, de sorte qu’aucun nœud du réseau n’essaie de «casser» la même machine cible. »

De plus, il a été construit avec un dictionnaire complet de noms et de mots de passe à des fins de forçage brutal, ce qui le rend très agressif («Par comparaison, DDG, un botnet P2P récemment découvert, n’utilisait que le nom d’utilisateur« root »», a déclaré Harpaz).

Le malware génère également plusieurs threads pour effectuer diverses tâches simultanément. Par exemple, une adresse IP dans la file d’attente cible sera transmise à un module Cracker, qui à son tour analysera la machine attachée à l’adresse IP et tentera de la forcer brutalement. Une machine qui a été pénétrée avec succès est mise en file d’attente pour une infection malveillante par le module DeployMgmt et une machine qui a été infectée avec succès sera ajoutée au réseau P2P par le module Owned.

En cas de redémarrage du système compromis, le malware laisse derrière lui une porte dérobée, dont les identifiants de connexion sont enregistrés par les pairs du réseau.

«Le logiciel malveillant ajoute une clé SSH-RSA publique au fichier allowed_keys», selon la recherche. “Cette simple porte dérobée permet aux pirates informatiques qui possèdent la clé privée secrète de s’authentifier sans mot de passe, au cas où le mot de passe d’origine aurait été modifié.”

Le logiciel malveillant surveille également l’état du système de fichiers sur les machines infectées, vérifiant périodiquement la RAM disponible, la disponibilité, les connexions SSH et les statistiques d’utilisation du processeur. D’autres nœuds prennent ces informations et les utilisent pour déterminer s’il faut exécuter un cryptominer ou non.

S’il décide d’exécuter un cryptominer, le malware exécute un processus distinct appelé «libexec» pour extraire la crypto-monnaie Monero. Bien que cette infection secondaire soit la raison pour laquelle le botnet a jusqu’à présent été utilisé, son architecture signifie qu’il pourrait également installer tout autre type de malware sur les nœuds infectés, si ses auteurs décidaient de le faire.

Dans l’ensemble, FritzFrog est très avancé, a déclaré Harpaz, mais il existe un moyen simple d’éviter de se faire pirater: «Les mots de passe faibles sont indispensables aux attaques de FritzFrog», a-t-elle déclaré. “Nous vous recommandons de choisir des mots de passe forts et d’utiliser l’authentification par clé publique, ce qui est beaucoup plus sûr.”

Les administrateurs devraient également supprimer la clé publique de FritzFrog du fichier allowed_keys, empêchant les attaquants d’accéder à la machine, a-t-elle déclaré. Et «les routeurs et les appareils IoT exposent souvent SSH et sont donc vulnérables à FritzFrog; envisagez de modifier leur port SSH ou de désactiver complètement leur accès SSH si le service n’est pas utilisé.»

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x