Anzeige

Digitales Schlüsselloch

Guardicore, Innovator für Rechenzentrums- und Cloud-Sicherheit, hat das neue P2P-Botnetz „FritzFrog“ entdeckt, das seit Januar 2020 unbemerkt SSH-Server in Unternehmensumgebungen und Behördennetzen kompromittiert.

Den unbekannten Angreifern ist es inzwischen gelungen, weltweit mehr als 500 Server zu infizieren, die von Regierungsstellen, Banken, medizinische Zentren, Telekommunikationsunternehmen sowie renommierten Universitäten in den USA and Europa genutzt werden.

Über Brute-Force-Attacken gewinnt FritzFrog Zugriff auf SSH-Server und baut mehrere Verbindungen zu externen IP-Adressen auf. Durch eine unbemerkte Autorisierung des öffentlichen SSH-Angreiferschlüssels und Belauschen eintreffender Datenverbindungen fügt FritzFrog dann infizierte Rechner einem Peer-to-Peer-Botnet ohne zentralisierte Infrastruktur hinzu, das sich auf mehrere Netzwerkknoten verteilt.

„FritzFrog verfügt über eine spezielle Kombination an Eigenschaften, durch die sich die Schadsoftware von anderen Bedrohungen deutlich unterscheidet“, schreibt Ophir Harpaz, Sicherheitsforscherin bei Guardicore, in ihrem Blogbeitrag. „So nutzt FritzFrog aus, dass viele Sicherheitslösungen den Datenverkehr lediglich anhand von Kriterien wie Netzwerk-Port und -Protokoll durchleuchten. Neue Bedrohungen mit verdeckten Angriffstechniken lassen sich indes nur mit prozessbasierten Segmentierungsregeln verhindern.“

Botnet schürft nach Kryptowährung Monero

Die Angreifer installieren eine in Golang programmierte Malware, die als modularer, hochkomplexer und dateiloser Wurm nur im Arbeitsspeicher ausgeführt wird und so auf infizierten Rechnern keine Spuren hinterlässt. Auch nach System-Reboots können Angreifer ein einmal infiziertes System erneut kompromittieren, weil die Zugangsdaten per Netzwerk-Peering weitergegeben werden. Die proprietäre Malware kann über 30 Shell-Befehle auf dem lokalen Rechner ausführen, beispielsweise um den Systemstatus regelmäßig abzufragen. Diese Statistiken werden mit den anderen Knoten im Peer-to-Peer-Netzwerk ausgetauscht, um abschätzen zu können, ob der Betrieb eines Kryptominers lohnt. In einem separaten Prozess — genannt „libexec“  — schürft die Schadsoftware dann digitale Münzen in der Währung „Monero“.

Die Fritzfrog-Angreifer leiten ihren Datenverkehr nicht über einen Standard-Port wie 1234, der von Firewalls leicht erkannt und blockiert würde. Stattdessen nutzen die FritzFrog-Entwickler kreative Verfahren, um unerkannt zu bleiben und unter dem Radar zu operieren. Shell-Kommandos werden nicht direkt über Port 1234 gesendet, sondern auf folgende Weise weitergegeben: Der Angreifer verbindet sich mit dem kompromittierten System per SSH und führt auf dem lokalen Rechner einen Netcat-Client aus, der wiederum eine Verbindung mit dem Malware-Server aufbaut. Ab diesem Zeitpunkt wird jeder über SSH ausgetauschte Befehl von Netcat ausgeführt und an die Malware weitergegeben.

Guardicore stoppt FritzFrog-P2P-Kommunikation

Mit „Frogger“ hat Guardicore Labs ein Client-Programm geschrieben, das die FritzFrog-P2P-Kommunikation unterbindet und den Schlüsselaustausch mit der Malware übernimmt. Gleichzeitig sucht das in Golang geschriebene Programm nach mehreren Indikatoren, die auf eine FritzFrog-Infektion hinweisen. So kann eine Kompromittierung vorliegen, wenn die laufenden Prozesse nginx, ifconfig oder libexec auf dem Dateisystem nicht mehr ausgeführt werden. Neben Port 1234 wird auch der TCP-Traffic über Port 5555 untersucht, um eine Datenverbindung mit dem Monero-Mining-Pool erkennen zu können.

www.guardicore.com


Artikel zu diesem Thema

Hacker Stop
Aug 21, 2020

So lassen sich erfolgreiche Cyberangriffe verhindern

Cyberangriffe auf Unternehmen sind zahlreich. Wie der Bericht des Kriminologischen…
Emotet Malware
Aug 19, 2020

Schadsoftware Emotet ist zurück

Emotet ist zurück: Wie Phoenix aus der Asche kehrt der Trojaner nach knapp fünfmonatiger…
Spam Briefkasten
Aug 17, 2020

So rüsten sich Unternehmen gegen Malware

Nach dem Urlaub quillt bei vielen Mitarbeitern das Postfach vor ungelesenen Nachrichten…

Weitere Artikel

Hacker

Cyberkriminelle wollen Kapital aus dem Thema Steuern schlagen

Erneut versuchen Cyberkriminelle sich weltweit die anstehenden Steuererklärungen vieler Bürger und Unternehmen zunutze zu machen, um Login-Daten zu entwenden und Schadsoftware zu verbreiten.
Hackerangriff

Colonial Pipeline-Hack: Das Stromnetz wurde nicht angegriffen – noch nicht...

Der Colonial Pipeline-Hack war auch insofern bemerkenswert, als dass er der bisher bedeutsamste Ransomware-Angriff auf ein US-Energietransportsystem war, im Gegensatz zu einem reinen Kraftstoffanbieter wie Exxon.
Krankenhaus IT

Krankenhäuser im Visier von Hackern

Leere Tanksäulen, verriegelte Supermarkttüren und der erste digitale Katastrophenfall in Deutschland – Menschen weltweit haben die Folgen der jüngsten Cyberattacken gegen kritische Infrastrukturen (KRITIS) am eigenen Leib gespürt: Erst Colonial Pipeline, dann…
DDoS

Zahl der DDoS-Angriffe sind rasant gestiegen

Die Zahl der DDoS-Attacken erreichte im 1. Halbjahr 2021 einen neuen Höchstwert. Die Zunahme gegenüber dem Vorjahreszeitraum mit seinem DDoS-Boom und einer Verdopplung der Angriffe betrug noch einmal 33 Prozent.
Phishing

Mehr Opfer von sicherheits- und personalbezogenem Phishing

KnowBe4, Anbieter einer Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, veröffentlicht die Ergebnisse seines Q2 2021 Phishing Reports mit den meistgeklickten Phishing Betreffzeilen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.