La nueva botnet P2P infecta servidores SSH en todo el mundo


  Imagen de dibujos animados de una computadora de escritorio atacada por virus.

Aurich Lawson

Los investigadores han descubierto que creen que es una botnet no descubierta previamente que utiliza medidas inusualmente avanzadas para atacar de forma encubierta a millones de servidores en todo el mundo. [19659004] La botnet utiliza software propietario escrito desde cero para infectar servidores e integrarlos en una red peer-to-peer, informaron el miércoles investigadores de la firma de seguridad Guardicore Labs. Las botnets P2P distribuyen su gestión en muchos nodos infectados en lugar de depender de un servidor de control para enviar comandos y recibir datos robados. Sin un servidor centralizado, las botnets son generalmente más difíciles de detectar y más difíciles de cerrar.

"Lo fascinante de esta campaña fue que, a primera vista, no había ningún servidor CNC (Comando y Control) obvio conectado", escribió Ophir Harpaz, investigador de Guardicore Labs. "Fue poco después de que comenzara la investigación cuando entendemos que no hay CNC en absoluto ".

La botnet con investigadores de Guardicore Labs, llamada FritzFrog, tiene una serie de características avanzadas que incluyen:

  • Carga útil en memoria que nunca toca los discos duros de los servidores infectados .
  • Al menos 20 versiones del software binario desde enero.
  • Un enfoque único es la infección de servidores Secure Shell o SSH utilizados por administradores de red para administrar computadoras.
  • 19659008] La posibilidad de servidores infectados Puerta trasera abierta.
  • Una lista de combinaciones de credenciales que se utilizan para identificar contraseñas de inicio de sesión débiles que son "más grandes" que las en botnets vistas anteriormente.

Todos juntos y … [19659013] Tomados en conjunto, los atributos indican un operador superior al promedio que ha invertido recursos considerables en la construcción de una botnet que sea eficaz, difícil de detectar y resistente a los cierres. La nueva base de código, combinada con versiones en rápida evolución y cargas útiles que se ejecutan solo en la memoria, dificulta que los antivirus y otros protectores de terminales detecten el malware.

El diseño de igual a igual hace que sea difícil para un investigador o investigador procesar para cesar las operaciones. El medio típico de apagado es tomar el control del servidor de comando y control. Esta medida convencional no funciona en servidores infectados con FritzFrog que se controlan entre sí de forma descentralizada. Peer-to-peer también hace que sea imposible buscar en los servidores y dominios de control la evidencia de los atacantes.

Harpaz dijo que los investigadores corporativos se toparon con la botnet por primera vez en enero. Desde entonces, se ha dirigido a decenas de millones de direcciones IP de agencias gubernamentales, bancos, empresas de telecomunicaciones y universidades. Hasta ahora, la botnet ha logrado infectar 500 servidores pertenecientes a "reconocidas universidades de Estados Unidos y Europa ya una empresa ferroviaria".

Totalmente funcional

Una vez instalada, la carga útil maliciosa puede ejecutar 30 comandos, incluida la ejecución de scripts y la descarga de bases de datos, registros o archivos. Para evitar los cortafuegos y la protección de terminales, los atacantes envían comandos a través de SSH a un cliente Netcat en la computadora infectada. Netcat luego se conecta a un "servidor de malware". (La mención de este servidor sugiere que la estructura peer-to-peer de FritzFrog puede no ser absoluta. O es posible que el “servidor de malware” esté alojado en una de las computadoras infectadas en lugar de en un servidor dedicado. Los investigadores de Guardicore Labs no lo estaban. Disponible para una aclaración inmediata.)

Para infiltrarse y analizar la botnet, los investigadores desarrollaron un programa que intercambia claves de cifrado que la botnet usa para enviar comandos y recibir datos.

"Este programa, que llamamos Frogger, nos permitió examinar la naturaleza y el alcance de la red", escribió Harpaz. "Con Frogger, también pudimos unirnos a la red" inyectando "nuestros propios nodos y participando en el tráfico P2P en curso".

Antes de reiniciar los equipos infectados, FritzFrog instala una clave de cifrado pública en el archivo de "claves autorizadas" del servidor. El certificado actúa como una puerta trasera en caso de que se cambie la contraseña débil.

Los resultados del miércoles indican que los administradores que no protegen los servidores SSH con una contraseña segura y un certificado criptográfico pueden ya estar infectados con malware que es difícil de ver para el ojo inexperto. El informe incluye un enlace a los indicadores de compromiso y un programa que se puede utilizar para detectar equipos infectados.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *