Anzeige

Digitales Schlüsselloch

Guardicore, Innovator für Rechenzentrums- und Cloud-Sicherheit, hat das neue P2P-Botnetz „FritzFrog“ entdeckt, das seit Januar 2020 unbemerkt SSH-Server in Unternehmensumgebungen und Behördennetzen kompromittiert.

Den unbekannten Angreifern ist es inzwischen gelungen, weltweit mehr als 500 Server zu infizieren, die von Regierungsstellen, Banken, medizinische Zentren, Telekommunikationsunternehmen sowie renommierten Universitäten in den USA and Europa genutzt werden.

Über Brute-Force-Attacken gewinnt FritzFrog Zugriff auf SSH-Server und baut mehrere Verbindungen zu externen IP-Adressen auf. Durch eine unbemerkte Autorisierung des öffentlichen SSH-Angreiferschlüssels und Belauschen eintreffender Datenverbindungen fügt FritzFrog dann infizierte Rechner einem Peer-to-Peer-Botnet ohne zentralisierte Infrastruktur hinzu, das sich auf mehrere Netzwerkknoten verteilt.

„FritzFrog verfügt über eine spezielle Kombination an Eigenschaften, durch die sich die Schadsoftware von anderen Bedrohungen deutlich unterscheidet“, schreibt Ophir Harpaz, Sicherheitsforscherin bei Guardicore, in ihrem Blogbeitrag. „So nutzt FritzFrog aus, dass viele Sicherheitslösungen den Datenverkehr lediglich anhand von Kriterien wie Netzwerk-Port und -Protokoll durchleuchten. Neue Bedrohungen mit verdeckten Angriffstechniken lassen sich indes nur mit prozessbasierten Segmentierungsregeln verhindern.“

Botnet schürft nach Kryptowährung Monero

Die Angreifer installieren eine in Golang programmierte Malware, die als modularer, hochkomplexer und dateiloser Wurm nur im Arbeitsspeicher ausgeführt wird und so auf infizierten Rechnern keine Spuren hinterlässt. Auch nach System-Reboots können Angreifer ein einmal infiziertes System erneut kompromittieren, weil die Zugangsdaten per Netzwerk-Peering weitergegeben werden. Die proprietäre Malware kann über 30 Shell-Befehle auf dem lokalen Rechner ausführen, beispielsweise um den Systemstatus regelmäßig abzufragen. Diese Statistiken werden mit den anderen Knoten im Peer-to-Peer-Netzwerk ausgetauscht, um abschätzen zu können, ob der Betrieb eines Kryptominers lohnt. In einem separaten Prozess — genannt „libexec“  — schürft die Schadsoftware dann digitale Münzen in der Währung „Monero“.

Die Fritzfrog-Angreifer leiten ihren Datenverkehr nicht über einen Standard-Port wie 1234, der von Firewalls leicht erkannt und blockiert würde. Stattdessen nutzen die FritzFrog-Entwickler kreative Verfahren, um unerkannt zu bleiben und unter dem Radar zu operieren. Shell-Kommandos werden nicht direkt über Port 1234 gesendet, sondern auf folgende Weise weitergegeben: Der Angreifer verbindet sich mit dem kompromittierten System per SSH und führt auf dem lokalen Rechner einen Netcat-Client aus, der wiederum eine Verbindung mit dem Malware-Server aufbaut. Ab diesem Zeitpunkt wird jeder über SSH ausgetauschte Befehl von Netcat ausgeführt und an die Malware weitergegeben.

Guardicore stoppt FritzFrog-P2P-Kommunikation

Mit „Frogger“ hat Guardicore Labs ein Client-Programm geschrieben, das die FritzFrog-P2P-Kommunikation unterbindet und den Schlüsselaustausch mit der Malware übernimmt. Gleichzeitig sucht das in Golang geschriebene Programm nach mehreren Indikatoren, die auf eine FritzFrog-Infektion hinweisen. So kann eine Kompromittierung vorliegen, wenn die laufenden Prozesse nginx, ifconfig oder libexec auf dem Dateisystem nicht mehr ausgeführt werden. Neben Port 1234 wird auch der TCP-Traffic über Port 5555 untersucht, um eine Datenverbindung mit dem Monero-Mining-Pool erkennen zu können.

www.guardicore.com


Artikel zu diesem Thema

Hacker Stop
Aug 21, 2020

So lassen sich erfolgreiche Cyberangriffe verhindern

Cyberangriffe auf Unternehmen sind zahlreich. Wie der Bericht des Kriminologischen…
Emotet Malware
Aug 19, 2020

Schadsoftware Emotet ist zurück

Emotet ist zurück: Wie Phoenix aus der Asche kehrt der Trojaner nach knapp fünfmonatiger…
Spam Briefkasten
Aug 17, 2020

So rüsten sich Unternehmen gegen Malware

Nach dem Urlaub quillt bei vielen Mitarbeitern das Postfach vor ungelesenen Nachrichten…

Weitere Artikel

Hacker

IDOR-Schwachstelle gefährdet Einzelhändler und E-Commerce

Hackerone warnt in seinem jüngst veröffentlichten Blogbeitrag vor der wachsenden Bedrohung vieler Unternehmen des Einzelhandels und des E-Commerce durch sogenannte Insecure Direct Object References (oder IDOR).
Hacker

Neue Cyberattacke zielt auf Microsoft Office und Adobe Photoshop Cracks

Bitdefender hat eine neue Bedrohung für Anwender entdeckt, die raubkopierte Versionen von Microsoft Office und Adobe Photoshop CC nutzen.

Deepfakes als kommende Bedrohung: Wie man einen bösen Flaschengeist bezwingt

Nach Ransomware wird der nächste gemeine Flaschengeist der Cyberkriminalität höchstwahrscheinlich die Erstellung von Deepfakes sein: Audio- und Videomaterial, erzeugt mittels künstlicher Intelligenz (KI) in böswilliger Absicht, etwa zu Manipulations- und…
Cyber Attack

Cyberangriffe gegen digitale Identitäten häufen sich

SailPoint Technologies veröffentlichte die Ergebnisse einer aktuellen Umfrage unter Sicherheits- und IT-Verantwortlichen, die klären sollte, warum auch große, ressourcenstarke Unternehmen weiterhin kompromittiert werden. Dabei trat ein gemeinsamer Nenner…
Ransomware

Ransomware: Immer mehr Unternehmen zahlen Lösegeld

Wer das Lösegeld nach einer Ransomware-Attacke zahlt, erhöht die Attraktivität der Malware für Cyberkriminelle, warnt das Royal United Services Institute (RUSI) in einem aktuellen Report.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.