FritzFrog-P2P-Kommunikation unterbinden
Bot-Netz „FritzFrog“ infiziert 500 Regierungs- und Firmen-Server
Fortsetzung des Artikels von Teil 1
Unter dem Radar
Die FritzFrog-Angreifer leiten ihren Datenverkehr nicht über einen Standard-Port wie 1234, der von Firewalls leicht erkannt und blockiert würde. Stattdessen nutzen die Entwickler kreative Verfahren, um unerkannt zu bleiben und unter dem Radar zu operieren. Shell-Kommandos gehen nicht direkt über Port 1234, sondern werden auf folgende Weise weitergegeben: Der Angreifer verbindet sich mit dem kompromittierten System per SSH und führt auf dem lokalen Rechner einen Netcat-Client aus, der wiederum eine Verbindung mit dem Malware-Server aufbaut. Ab diesem Zeitpunkt läuft jeder über SSH ausgetauschte Befehl über Netcat und geht damit an die Malware weiter.
Mit „Frogger“ hat Guardicore Labs ein Client-Programm geschrieben, das die FritzFrog-P2P-Kommunikation unterbindet und den Schlüsselaustausch mit der Malware übernimmt. Gleichzeitig sucht das in Golang geschriebene Programm nach mehreren Indikatoren, die auf eine FritzFrog-Infektion hinweisen. So kann eine Kompromittierung vorliegen, wenn die laufenden Prozesse nginx, ifconfig oder libexec auf dem Dateisystem nicht mehr ablaufen. Neben Port 1234 untersucht das Tool auch den TCP-Traffic über Port 5555, um eine Datenverbindung mit dem Monero-Mining-Pool erkennen zu können.
Weitere Informationen über das FritzFrog-Bot-Netz finden Interessierte unter www.guardicore.com/2020/08/fritzfrog-p2p-botnet-infects-ssh-servers/.
- Bot-Netz „FritzFrog“ infiziert 500 Regierungs- und Firmen-Server
- Unter dem Radar
Lesen Sie mehr zum Thema
