I ricercatori hanno scoperto quella che credono sia una botnet precedentemente sconosciuta che utilizza misure insolitamente avanzate per colpire segretamente milioni di server in tutto il mondo.
La botnet utilizza software proprietario scritto da zero per infettare i server e inserirli in una rete peer-to-peer, hanno riferito mercoledì i ricercatori della società di sicurezza Guardicore Labs. Le botnet P2P distribuiscono la loro amministrazione tra molti nodi infetti invece di affidarsi a un server di controllo per inviare comandi e ricevere dati rubati. Senza un server centralizzato, le botnet sono generalmente più difficili da individuare e più difficili da chiudere.
“Ciò che è stato intrigante di questa campagna è che, a prima vista, non c’era alcun server di comando e controllo (CNC) apparente a cui fosse connesso”, ha scritto il ricercatore di Guardicore Labs Ophir Harpaz. “È stato poco dopo l’inizio della ricerca quando abbiamo capito che non esisteva alcun CNC.”
La botnet, che i ricercatori di Guardicore Labs hanno chiamato FritzFrog, ha una serie di altre funzionalità avanzate, tra cui:
- Payload in memoria che non toccano mai i dischi dei server infetti.
- Almeno 20 versioni del binario software da gennaio.
- Un unico focus sull’infezione di secure shell, o SSH, server che gli amministratori di rete usano per gestire le macchine.
- La capacità di eseguire il backdoor di server infetti.
- Un elenco di combinazioni di credenziali di accesso utilizzate per individuare password di accesso deboli che è più “estesa” di quelle delle botnet viste in precedenza.
Metti tutto insieme e…
Nel loro insieme, gli attributi indicano un operatore superiore alla media che ha investito considerevoli risorse per costruire una botnet efficace, difficile da rilevare e resistente ai takedown. La nuova base di codice, combinata con versioni in rapida evoluzione e payload che vengono eseguiti solo in memoria, rende difficile per antivirus e altre protezioni degli endpoint rilevare il malware.
Annuncio
Il design peer-to-peer rende difficile per i ricercatori o le forze dell’ordine chiudere l’operazione. Il mezzo tipico di rimozione è quello di prendere il controllo del server di comando e controllo. Con i server infettati da FritzFrog che esercitano un controllo decentralizzato l’uno sull’altro, questa misura tradizionale non funziona. Il peer-to-peer rende inoltre impossibile vagliare server e domini di controllo alla ricerca di indizi sugli aggressori.
Harpaz ha affermato che i ricercatori dell’azienda si sono imbattuti per la prima volta nella botnet a gennaio. Da allora, ha affermato, ha preso di mira decine di milioni di indirizzi IP appartenenti ad agenzie governative, banche, società di telecomunicazioni e università. Finora la botnet è riuscita a infettare 500 server appartenenti a “rinomate università negli Stati Uniti e in Europa e a una compagnia ferroviaria”.
Funzionalità complete
Una volta installato, il payload dannoso può eseguire 30 comandi, inclusi quelli che eseguono script e scaricano database, registri o file. Per eludere i firewall e la protezione degli endpoint, gli aggressori inviano i comandi su SSH a un client netcat sulla macchina infetta. Netcat si connette quindi a un “server malware”. (La menzione di questo server suggerisce che la struttura peer-to-peer di FritzFrog potrebbe non essere assoluta. Oppure è possibile che il “server malware” sia ospitato su una delle macchine infette e non su un server dedicato. I ricercatori di Guardicore Labs non erano t immediatamente disponibile per chiarire.)
Per infiltrarsi e analizzare la botnet, i ricercatori hanno sviluppato un programma che scambia le chiavi di crittografia utilizzate dalla botnet per inviare comandi e ricevere dati.
“Questo programma, che abbiamo chiamato frogger, ci ha permesso di indagare sulla natura e la portata della rete”, ha scritto Harpaz. “Utilizzando frogger, siamo stati anche in grado di unirci alla rete “iniettando” i nostri nodi e partecipando al traffico P2P in corso.”
Prima del riavvio delle macchine infette, FritzFrog installa una chiave di crittografia pubblica nel file “authorized_keys” del server. Il certificato funge da backdoor nel caso in cui la password debole venga modificata.
Il risultato dei risultati di mercoledì è che gli amministratori che non proteggono i server SSH con una password complessa e un certificato crittografico potrebbero già essere stati infettati da malware difficile da rilevare per un occhio inesperto. Il rapporto ha un collegamento a indicatori di compromissione e un programma in grado di individuare le macchine infette.
