Botnet FritzFrog se vraća

AUTOR · Published · Updated

Sigurnosni istraživači kompanije Akamai kažu da se mreža ravnopravnih računara (eng. peer-to-peer – P2P) botnet FritzFrog vraća sa novom varijantom koja koristi ranjivost Log4Shell za interno širenje unutar već kompromitovane mreže.

FritzFrog

Botnet FritzFrog se vraća; Source: Bing Image Creator

BOTNET FRITZFROG

FritzFrog je botnet mreže ravnopravnih računara napisan na Golang programskom jeziku koji inficira Linux servere grubim forsiranjem SSH akreditiva. Prvi put je dokumentovan u avgustu 2020. godine, a pretpostavlja se da je aktivan od januara 2020. godine. Tokom vremena ovaj botnet je ciljao sektor zdravstvene zaštite, obrazovanja i vlade i poboljšavao svoje sposobnosti da na kraju primjeni rudare kriptovaluta na zaražene uređaje, sa preko 1.500 žrtava tokom godina.

Ono što je novo u najnovijoj verziji je upotreba ranjivosti Log4Shell kao sekundarnog vektora infekcije za specifično izdvajanje internih hostova, a ne za ciljanje ranjivih javno dostupnih sredstava. Sigurnosni istraživači su ovu aktivnost nazvali Frog4Shell.

 

FritzFrog pokušava da iskoristi ovu ranjivost ubacivanjem korisnog opterećenja kroz HTTP zaglavlja. FritzFrog šalje korisni teret Log4Shell u brojnim HTTP zaglavljima, nadajući se da će bar jedno od njih biti evidentirano od strane aplikacije. Ovaj pristup iskorištavanju grube sile ima za cilj da bude generčka Log4Shell eksploatacija koja može uticati na širok spektar aplikacija. To radi na zanimljiv način – umjesto da pokušava da hirurški cilja određeno HTTP zaglavlje, FritzFrog cilja skoro sve njih.

 Akamai

 

FROG4SHELL

Tradicionalno, FritzFrog se oslanjao na SSH grubu silu kao jedini vektor infekcije, ali nedavne verzije zlonamjernog softvera sada uključuju novu: eksploataciju Log4Shell, koju su sigurnosni istraživači nazvali Frog4Shell.

Log4Shell ranjivost je prvobitno identifikovana u decembru 2021. godine i izazvala je probleme u vezi sa njenim ispravljanjem u cijeloj industriji koja je trajala mjesecima. Čak i danas, 2 godine kasnije, postoji mnogo internet aplikacija koje su i dalje podložne ovoj eksploataciji.

Ranjiva sredstva koja se suočavaju sa internetom predstavljaju ozbiljan problem, ali FritzFrog zapravo predstavlja rizik za dodatnu vrstu imovine – interne hostove. Kada je ranjivost prvi put otkrivena, aplikacije za internet su bile prioritet za ažuriranje zbog značajnog rizika od kompromitovanja. Nasuprot tome, unutrašnje mašine, za koje je bilo manje vjerovatno da će biti eksploatisane, često su bile zanemarene i ostale bez primijenjenih ispravki – okolnost koju FritzFrog sada koristi.

 

Funkcionisanje

Kao dio svoje rutine širenja, zlonamjerni softver pokušava da cilja sve hostove u internoj mreži. To radi tako što pokušava da identifikuje dostupne podmreže i cilja moguće adrese u svakoj od njih. To znači da čak i ako su veoma vrijedne internet aplikacije ažurirane, ugrožavanje bilo kog sredstva u mreži od strane FritzFrog može izložiti ne ažuriranu internu imovinu eksploataciji.

FritzFrog identifikuje potencijalne Log4Shell mete tražeći HTTP servere preko portova 8080, 8090, 8888 i 9000. Da bi pokrenuo ranjivost, napadač treba da primora ranjivu log4j aplikaciju da evidentira podatke koji sadrže korisni teret koji ranjiva biblioteka log4j pogrešno analizira, primorava i Java aplikaciju da se poveže sa LDAP serverom navedenim na adresi koju je napadač odredio, preuzimajući Java klasu sa njega i izvršavajući je.

 

SSH metode otkrivanja cilja

Pored dodavanja Log4Shell eksploatacije, FritzFrog je takođe poboljšao svoju sposobnost da identifikuje mete za svoj glavni vektor infekcije — grubim forsiranjem SSH akreditiva. Nastavljajući da cilja nasumično generisane IP adrese, FritzFrog će sada takođe pokušati da identifikuje specifične SSH ciljeve tako što će evidentirati nekoliko sistemskih dnevnika na svakoj od svojih žrtava. Ovi dnevnici sadrže, između ostalog, informacije o konekcijama sa mašinom. Sada FritzFrog cilja aktivne klijente u mreži skeniranjem ovih dnevnika i traženjem IP adresa.

 

SSH poznati hostovi

Kada se host poveže sa udaljenim SSH serverom, informacije o vezi se automatski čuvaju u datoteci ~/.ssh/knovn_hosts. FritzFrog će izdvojiti adrese ovih hostova i ciljati ih. Ovo obezbjeđuje zlonamjernom softveru listu aktivnih i dostupnih SSH servera. Štaviše, pošto ovim serverima vjerovatno upravlja isti vlasnik kao i kompromitovani server, oni takođe mogu da djele sličnu slabu lozinku.

 

Datoteka istorije

Sve komande koje se izvršavaju na Linux sistemima se čuvaju u posebnom dnevniku koji se zove datoteka istorije. FritzFrog pokušava da identifikuje prethodne ssh i scp veze iz ove datoteke, a zatim će izdvojiti IP adrese iz ovih komandi i ciljati ih. Slično datoteci prethodnom slučaju, ovo može da obezbijedi listu aktivnih i dostupnih SSH servera.

 

Eskalacija privilegija

Još jedna značajna promjena u zlonamjernom softveru je korištenje PwnKit ranjivosti označene kao CVE-2021-4034 za postizanje lokalne eskalacije privilegija. Prilikom početnog izvršavanja, FritzFrog će provjeriti dozvole svog procesa. Ako izvršni korisnik nije root, FritzFrog će pokrenuti nekoliko komandi tražeći određene nizove znakova čije će postojanje dovesti do eksploatacije CVE-2021-4034 ranjivosti.

Ova ranjivost je otkrivena u Linux komponenti polkit 2022. godine i mogla bi dozvoliti eskalaciju privilegija na bilo kojoj Linux mašini koja je pokretala polkit. Pošto je podrazumijevano instaliran na većini Linux distribucija, mnoge mašine bez odgovarajućeg ažuriranja su i danas ranjive.

Eksploatacija funkcioniše tako što se zloupotrebljava činjenica da je polkit SUID program; to jest, radi sa root privilegijama čak i kada ga izvrši običan korisnik. Ranjivost omogućava prisiljavanje polkit programa da učita i izvrši biblioteku koju kontroliše napadač, što dovodi do izvršavanja kôda sa root privilegijama uz učitavanje i izvršavanje korisnog tereta.

 

Izbjegavanje mehanizama zaštite

FritzFrog nastavlja da koristi taktiku da ostane skriven i izbjegne otkrivanje. Posebno se vodi računa o tome da se izbjegne ispuštanje datoteka na disk kada je to moguće.

U prvom slučaju se koristi Linux direktorijum /dev/shm koji je namijenjen da omogući efikasnu komunikaciju između različitih procesa u sistemu. Iako izgleda kao normalni direktorijum sistema datoteka, on je zapravo mapiran direktno u RAM, a sve datoteke kreirane pod njim nikada se zapravo ne upisuju na disk. FritzFrog koristi ovaj direktorijum da omogući izvršavanje bez datoteka upisivanjem datoteka i njihovim izvršavanjem iz ovog direktorijuma.

U drugom slučaju, koristi se memfd_create funkcija. Ova funkcija kreira datoteku koja se ponaša kao obična datoteka, pa se može modifikovati, skraćivati, mapirati u memoriju itd. Međutim, za razliku od obične datoteke, ona je smještena u RAM memoriju. Dakle, kao i u prethodnom slučaju, ovo je zgodan način kreirana datoteka bez upisivanja na disk. FritzFrog koristi ovu tehniku prilikom izvršavanja svog korisnog tereta, upisujući korisni teret u anonimnu datoteku koju kreira memfd_create i izvršava je.

 

ZAKLJUČAK

FritzFrog dodavanje novih eksploatacionih mogućnosti svom arsenalu pokazuje da je  iskorištavanje ranjivosti jedna od najefikasnijih metoda za napad na poslovne organizacije. Za očekivati je da će se ovaj trend nastaviti u narednim verzijama FritzFrog zlonamjernog softvera i vjerovatno je samo pitanje vremena kada će zlonamjernom softveru biti dodate dodatne eksploatacije.

Sve ovo ukazuje na trend u kojem napredni zlonamjerni akteri kontinuirano razvijaju svoje tehnike i da ne miruju. Sigurnosni timovi moraju da budu na oprezu, da brzo primjenjuju ažuriranja i prate otkrivanja novih eksploatacija koje se dodaju ovakvom zlonamjernom softveru. Iskorištavanje mogućnosti Log4Shell ranjivosti pokazuje samo da ovakve ranjivosti mogu da predstavljaju prijetnju čak i godinama nakon otkrivanja i da će ih zlonamjerni akteri iskorištavati sve dok ne bude u potpunosti ažurirana.

 

ZAŠTITA

Kada je u pitanju ova zlonamjerna prijetnja, korisnici mogu primjenjivati pristup u dva pravca:

  • Prvi pristup podrazumijeva primjenu segmentacije mreže, kako bi se ograničilo bočno kretanje (eng. lateral movement) nakon što napadač dobije uporište u mreži. Ovakav pristup smanjuje uticaj napada i smatra se jednim od najefikasnijih načina za ublažavanje štete od prijetnji kao što je FritzFrog,
  • Drugi pristup podrazumijeva upotrebu alat za detekciju ponašanja koji identifikuju sumnjive obrasce izvršenja procesa, neočekivane mrežne veze i druga taktička ponašanja zlonamjernog softvera. Na primjer, FritzFrog pokreće razne procese čije izvršne datoteke ne postoje u sistemu datoteka.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.