Hace algunos días investigadores de seguridad dieron a conocer que han descubierto lo que creen que es una botnet “descentralizada” hasta ahora desconocida, que utiliza métricas excepcionalmente avanzadas para apuntar de manera encubierta a millones de servidores en todo el mundo.

La botnet utiliza software escrito desde cero para infectar servidores e integrarlos en una red de P2P. Las botnets P2P distribuyen su administración entre muchos nodos infectados en lugar de depender de un servidor de control para enviar comandos y recibir datos robados. Sin un servidor centralizado, las botnets son generalmente más difíciles de detectar y más difíciles de detener.

Lo intrigante de esta campaña fue que, a primera vista, no había ningún servidor de Command and Control (C&C) aparente al que estuviéramos conectados”, escribió el investigador de Guardicore Labs, Ophir Harpaz. . “No pasó mucho tiempo después de que comenzara la investigación que nos dimos cuenta de que no había C&C”.

La botnet, que los investigadores de Guardicore Labs llamaron FritzFrog, tiene una plétora de otras características avanzadas, que incluyen:

  • Cargas útiles en memoria que nunca tocan los discos de los servidores infectados.
  • Al menos 20 versiones de los binarios del software desde enero.
  • Un único enfoque en infectar los servidores Secure Shell o SSH que los administradores de red utilizan para administrar las máquinas.
  • La capacidad de tener puertas traseras en los servidores infectados.
  • Una lista de combinaciones de ID de inicio de sesión que se utilizan para identificar contraseñas de inicio de sesión débiles que son más “seguras” que las de las botnets vistas anteriormente.

En conjunto, los atributos indican un operador superior al promedio que ha invertido recursos considerables para crear una botnet eficiente que es difícil de detectar y resistente a las eliminaciones. La nueva base de código, combinada con versiones en rápida evolución y cargas útiles que solo se ejecutan en la memoria, dificulta que los antivirus y otros sistemas de protección de terminales detecten .

El diseño peer-to-peer hace que sea difícil para los investigadores o las fuerzas del orden detener la operación. La forma típica de retiro es tomar el control del servidor de Comando y Control.

Con los servidores infectados FritzFrog ejerciendo un control descentralizado entre sí, esta medida tradicional no funciona. El cambio a peer-to-peer también hace que sea imposible examinar los servidores y dominios de control en busca de pistas sobre los atacantes.

En resumen, a diferencia de otras botnets P2P, FritzFrog combina un conjunto de propiedades que la hace única: no tiene archivos, porque ensambla y ejecuta cargas útiles en la memoria.

Es más agresivo en sus intentos de fuerza bruta, pero sigue siendo eficaz al distribuir los objetivos de manera uniforme en toda la red. Finalmente, el protocolo P2P de FritzFrog es propietario y no se basa en ninguna implementación existente.

El malware, que está escrito en Golang, es completamente volátil y no deja rastros en el disco. Crea una puerta trasera en forma de clave pública SSH, lo que permite a los atacantes acceder continuamente a las máquinas víctimas. Desde el inicio de la campaña, los investigadores han identificado 20 versiones diferentes del ejecutable del malware.

Una vez instalada, la carga útil maliciosa puede ejecutar 30 comandos, incluidos los que ejecutan scripts y descargan bases de datos, registros o archivos.

Para evitar los firewalls y la protección de terminales, los atacantes enrutan los comandos a través de SSH a un cliente netcat en la máquina infectada. Netcat luego se conecta a un “servidor malicioso” (la mención de este servidor sugiere que la estructura peer-to-peer de FritzFrog puede no ser absoluta.

Antes de reiniciar las máquinas infectadas, FritzFrog instala una clave de cifrado pública en el archivo “claves_autorizadas” del servidor. El certificado actúa como una puerta trasera en caso de un cambio de contraseña débil.

Para interceptar la red FritzFrog, Guardicore Labs ha desarrollado un programa cliente en Golang, que realiza el proceso de intercambio de claves con el malware y puede enviar comandos y recibir sus resultados.

Este programa, llamado Frogger,  permitió estudiar la naturaleza y el alcance de la red. Utilizando Frogger, los investigadores también pudieron unirse a la red “inyectando” sus nodos y participando en el tráfico P2P en curso.

Fuente: https://www.guardicore.com/