Willkommen |
|
|
|
myGully |
|
|
Links |
|
|
|
Forum |
|
|
|
|
 |
20.08.20, 12:51
|
#1
|
|
Super Moderatorin
Registriert seit: Mar 2009
Ort: South Bronx
Beiträge: 24.091
Bedankt: 63.041
|
FritzFrog: P2P-Botnet kontrolliert mindestens 500 Enterprise- und Behörden-Server
Zitat:
Zu den Opfern gehören aber auch Universitäten in den USA und Europa. Die unbekannten Hacker setzen ein proprietäres P2P-Protokoll ein. Deshalb stufen sie die Forscher als "hochentwickelte Softwareentwickler" ein.
Forscher des Sicherheitsanbieters Guardicore haben ein neues Peer-to-Peer-Botnet namens [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] analysiert. Es ist mindestens seit Januar aktiv und attackiert SSH-Server von Behörden, Bildungseinrichtungen sowie Unternehmen in den Bereichen Finanzen, Medizin und Telekommunikation per [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].
FritzFrog soll inzwischen mindestens 500 Server kompromittiert haben. Zu den Opfer gehören laut Ophir Harpaz, Forscher bei Guardicore, bekannten Universitäten in den USA und Europa sowie ein nicht näher genanntes Eisenbahnunternehmen.
Beschrieben wird FritzFrog als dezentralisiertes Botnet. Es kontrolliert seine Knoten über P2P-Protokolle, statt einen zentralen Befehlsserver einzusetzen – der aber auch eine Schwachstelle wäre.
Die Hintermänner schleusen, nachdem sie einen Zugang zu einem SSH-Server per Brute Force geknackt haben, eine dateilose Schadsoftware, die nur im Arbeitsspeicher ausgeführt wird. Das erlaubt es ihr, möglichst wenige Spuren zu hinterlassen und vielen gängigen Erkennungstechniken zu entgehen. Anschließend kann der Server Befehlen empfangen und ausführen und wird so zum Teil des Botnets.
Bisher registrierten die Forscher mehr als 20 Varianten der in Golang geschriebenen Schadsoftware. Sie empfängt Befehle über den Port 1234. Dafür wird erneut eine SSH-Verbindung. Um die Befehle zu verschleiern setzen die Angreifer auf einen Netcat-Client und auf eine AES-Verschlüsselung. Außerdem fügen sie einen öffentlichen SSH-RSA-Schlüssel zur Datei „authorized_keys“ hinzu. Die nun eingerichtete Backdoor dient der Überwachung des Systems des Opfers und den Netzwerks.
Die Hauptaufgabe von FritzFrog ist es, den Cryptominer XMRig auszuführen und die Kryptowährung Monero zu schüren. Zu diesem Zweck ist die Malware in der Lage, Server-Prozesse, die die CPU belasten, abzuschalten, um dem Miner so viel Leistung wie möglich zur Verfügung zu stellen. Darüber hinaus kann sich FritzFrog über das SHH-Protokoll weiterverbreiten.
Das P2P-Protokoll von FritzFrog ist laut der Analyse proprietäre. Es basiere auf keiner bisher bekannten Implementierung. Als Folge stufen die Forscher die Hacker als „hochprofessionelle Softwareentwickler“ ein. Zu möglichen Hintermännern fand Guardicore indes keine Hinweise – außer Ähnlichkeiten mit dem 2016 entdeckten Botnet Rakos.
|
Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
|
Folgendes Mitglied bedankte sich bei Avantasia:
|
|
Forumregeln
|
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
HTML-Code ist Aus.
|
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:35 Uhr.
().
|
Linear-Darstellung
