Come riportato da Arstechnica, da gennaio Guardicore Labs ha identificato una nuova rete botnet che ha caratteristiche particolari che la rendono particolarmente insidiosa e pericolosa. Il post in cui spiegano il tutto è ben dettagliato: se siete interessati ne consigliamo la lettura. Il nome di questa nuova botnet è FritzFrog.
I ricercatori di Guardicore sono riusciti ad avere le informazioni riportate infiltrandosi nella rete, mimetizzandosi come uno dei nodi. Ma anche così non sono stati in grado di trovare un modo per fermare la diffusione.
Tanto per iniziare, di solito una botnet dipende da un host in particolare, che fa da direttore: la sua funzione principale è quella di dare i comandi ai computer compromessi, e al più ricevere i dati trafugati negli obbiettivi. FritzFrog no, è decentralizzato, con l’uso di una rete peer to peer (P2P). In FritzFrog ogni computer compromesso è in grado di svolgere gli stessi compiti, compreso inviare comandi a tutti gli altri, o recuperare i dati trafugati. Niente server e client, ma tutti pari (peer).
La rete P2P a sua volta non è niente di già visto: pur svolgendo compiti similari ad altre già in circolazione, come Torrent per i file, è un’implementazione proprietaria. E anche questo è particolare.
La botnet è creata da un malware molto sofisticato, che attacca i server SSH: anche questa è una particolarità notevole.
Il vettore principale è ottenere l’accesso provando le password più comuni, prese da un elenco; i ricercatori hanno scoperto che questo è uno degli elenchi più complessi e completi che ci siano in circolazione.
Il malware è progettato per non usare il disco degli host attaccati, ma girare solo in memoria: questo rende la vita particolarmente complicata agli antivirus, che spesso analizzano i file ma i processi già in corso di solito sono considerati sicuri.
L’unico file modificato su disco può essere rintracciato nell’authorized_host: una volta ottenuto l’accesso ad una macchina, il malware autorizza una certa chiave SSH per l’accesso, creandosi de facto una backdoor: se l’attaccato cambia anche la password usata, la chiave è ancora valida, garantendo l’accesso all’attaccante.
Inoltre il malware stesso è molto sofisticato, diviso in vari processi multithread con vari compiti specifici, come trovare un nuovo bersaglio, attaccarlo per avere accesso e “copiarsi”, collegarsi alla rete degli altri bot, aggiornarsi… Insomma, per ogni compito un thread specifico, che può lavorare contemporaneamente agli altri.
Il processo stesso poi nasconde il proprio nome, facendosi passare per ifconfig o nginx, ovvero programmi molto diffusi.
Ci sono altre particolarità, come:
- almeno venti versioni diverse (da quando è stato identificato);
- capacità di distribuire i bersagli tra tutti i nodi disponibili (per evitare di attaccare in due lo stesso bersaglio);
- comunicazioni criptate P2P;
- uso della connessione SSH stessa per la comunicazione.
- scritto in golang;
- attacca sia macchine Linux che Windows.
Di buono c’è che finora ha prediletto l’attacco ad obbiettivi specifici: uffici governativi, università, centri medici, banche e compagnie telefoniche. Se non siete in una di queste categorie è poco probabile che diveniate degli obbiettivi. O almeno si spera…
Nessun commento:
Posta un commento