Anzeige

Digitales Schlüsselloch

Guardicore, Innovator für Rechenzentrums- und Cloud-Sicherheit, hat das neue P2P-Botnetz „FritzFrog“ entdeckt, das seit Januar 2020 unbemerkt SSH-Server in Unternehmensumgebungen und Behördennetzen kompromittiert.

Den unbekannten Angreifern ist es inzwischen gelungen, weltweit mehr als 500 Server zu infizieren, die von Regierungsstellen, Banken, medizinische Zentren, Telekommunikationsunternehmen sowie renommierten Universitäten in den USA and Europa genutzt werden.

Über Brute-Force-Attacken gewinnt FritzFrog Zugriff auf SSH-Server und baut mehrere Verbindungen zu externen IP-Adressen auf. Durch eine unbemerkte Autorisierung des öffentlichen SSH-Angreiferschlüssels und Belauschen eintreffender Datenverbindungen fügt FritzFrog dann infizierte Rechner einem Peer-to-Peer-Botnet ohne zentralisierte Infrastruktur hinzu, das sich auf mehrere Netzwerkknoten verteilt.

„FritzFrog verfügt über eine spezielle Kombination an Eigenschaften, durch die sich die Schadsoftware von anderen Bedrohungen deutlich unterscheidet“, schreibt Ophir Harpaz, Sicherheitsforscherin bei Guardicore, in ihrem Blogbeitrag. „So nutzt FritzFrog aus, dass viele Sicherheitslösungen den Datenverkehr lediglich anhand von Kriterien wie Netzwerk-Port und -Protokoll durchleuchten. Neue Bedrohungen mit verdeckten Angriffstechniken lassen sich indes nur mit prozessbasierten Segmentierungsregeln verhindern.“

Botnet schürft nach Kryptowährung Monero

Die Angreifer installieren eine in Golang programmierte Malware, die als modularer, hochkomplexer und dateiloser Wurm nur im Arbeitsspeicher ausgeführt wird und so auf infizierten Rechnern keine Spuren hinterlässt. Auch nach System-Reboots können Angreifer ein einmal infiziertes System erneut kompromittieren, weil die Zugangsdaten per Netzwerk-Peering weitergegeben werden. Die proprietäre Malware kann über 30 Shell-Befehle auf dem lokalen Rechner ausführen, beispielsweise um den Systemstatus regelmäßig abzufragen. Diese Statistiken werden mit den anderen Knoten im Peer-to-Peer-Netzwerk ausgetauscht, um abschätzen zu können, ob der Betrieb eines Kryptominers lohnt. In einem separaten Prozess — genannt „libexec“  — schürft die Schadsoftware dann digitale Münzen in der Währung „Monero“.

Die Fritzfrog-Angreifer leiten ihren Datenverkehr nicht über einen Standard-Port wie 1234, der von Firewalls leicht erkannt und blockiert würde. Stattdessen nutzen die FritzFrog-Entwickler kreative Verfahren, um unerkannt zu bleiben und unter dem Radar zu operieren. Shell-Kommandos werden nicht direkt über Port 1234 gesendet, sondern auf folgende Weise weitergegeben: Der Angreifer verbindet sich mit dem kompromittierten System per SSH und führt auf dem lokalen Rechner einen Netcat-Client aus, der wiederum eine Verbindung mit dem Malware-Server aufbaut. Ab diesem Zeitpunkt wird jeder über SSH ausgetauschte Befehl von Netcat ausgeführt und an die Malware weitergegeben.

Guardicore stoppt FritzFrog-P2P-Kommunikation

Mit „Frogger“ hat Guardicore Labs ein Client-Programm geschrieben, das die FritzFrog-P2P-Kommunikation unterbindet und den Schlüsselaustausch mit der Malware übernimmt. Gleichzeitig sucht das in Golang geschriebene Programm nach mehreren Indikatoren, die auf eine FritzFrog-Infektion hinweisen. So kann eine Kompromittierung vorliegen, wenn die laufenden Prozesse nginx, ifconfig oder libexec auf dem Dateisystem nicht mehr ausgeführt werden. Neben Port 1234 wird auch der TCP-Traffic über Port 5555 untersucht, um eine Datenverbindung mit dem Monero-Mining-Pool erkennen zu können.

www.guardicore.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Hacker Stop
Aug 21, 2020

So lassen sich erfolgreiche Cyberangriffe verhindern

Cyberangriffe auf Unternehmen sind zahlreich. Wie der Bericht des Kriminologischen…
Emotet Malware
Aug 19, 2020

Schadsoftware Emotet ist zurück

Emotet ist zurück: Wie Phoenix aus der Asche kehrt der Trojaner nach knapp fünfmonatiger…
Spam Briefkasten
Aug 17, 2020

So rüsten sich Unternehmen gegen Malware

Nach dem Urlaub quillt bei vielen Mitarbeitern das Postfach vor ungelesenen Nachrichten…

Weitere Artikel

Hacker

Cyberkriminelle leiten immer mehr Gehaltszahlungen um

Proofpoint sieht einen dramatischen Anstieg im Bereich des genannten Payroll-Diversion-Betrugs. Allein die bei der US-Bundespolizei gemeldeten Fälle stiegen zwischen Januar 2018 und Juni 2019 um 815 Prozent. Bei dieser Betrugsform handelt es sich um eine Form…
Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!