Startseite > Security > Bot-Netz „FritzFrog“ infiziert 500 Regierungs- und Firmen-Server

FritzFrog-P2P-Kommunikation unterbinden

Bot-Netz „FritzFrog“ infiziert 500 Regierungs- und Firmen-Server

25. August 2020, 12:00 Uhr | Jörg Schröper

Über Brute-Force-Attacken gewinnt FritzFrog Zugriff auf SSH-Server und baut mehrere Verbindungen zu externen IP-Adressen auf.

Guardicore, Spezialist für Rechenzentrums- und Cloud-Sicherheit, hat nach eigenen Angaben ein neue P2P-Bot-Netz entdeckt, das seit Januar 2020 unbemerkt SSH-Server in Unternehmensumgebungen und Behördennetzen kompromittiert. Den unbekannten Angreifern ist es inzwischen gelungen, weltweit mehr als 500 Server zu infizieren, die von Regierungsstellen, Banken, medizinische Zentren, Telekommunikationsunternehmen sowie renommierten Universitäten in den USA und Europa genutzt werden.

Über Brute-Force-Attacken gewinnt FritzFrog Zugriff auf SSH-Server und baut mehrere Verbindungen zu externen IP-Adressen auf. Durch eine unbemerkte Autorisierung des öffentlichen SSH-Angreiferschlüssels und Belauschen eintreffender Datenverbindungen fügt FritzFrog dann infizierte Rechner einem Peer-to-Peer-Botnet ohne zentralisierte Infrastruktur hinzu, das sich auf mehrere Netzwerkknoten verteilt.

„FritzFrog verfügt über eine spezielle Kombination an Eigenschaften, durch die sich die Schadsoftware von anderen Bedrohungen deutlich unterscheidet“, schreibt Ophir Harpaz, Sicherheitsforscherin bei Guardicore, in ihrem Blogbeitrag. „So nutzt FritzFrog aus, dass viele Sicherheitslösungen den Datenverkehr lediglich anhand von Kriterien wie Netzwerk-Port und -Protokoll durchleuchten. Neue Bedrohungen mit verdeckten Angriffstechniken lassen sich indes nur mit prozessbasierten Segmentierungsregeln verhindern.“

Die Angreifer installieren eine in Golang programmierte Malware, die als modularer, hochkomplexer und dateiloser Wurm nur im Arbeitsspeicher ausgeführt wird und so auf infizierten Rechnern keine Spuren hinterlässt. Auch nach System-Reboots können Angreifer ein einmal infiziertes System erneut kompromittieren, weil die Zugangsdaten per Netzwerk-Peering weitergegeben werden. Die proprietäre Malware kann über 30 Shell-Befehle auf dem lokalen Rechner ausführen, beispielsweise um den Systemstatus regelmäßig abzufragen. Diese Statistiken tauscht sie mit den anderen Knoten im Peer-to-Peer-Netzwerk aus, um abschätzen zu können, ob der Betrieb eines Krypto-Miners lohnt. In einem separaten Prozess – genannt „libexec“ – schürft die Schadsoftware dann digitale Münzen in der Währung Monero.