FritzFrog ist ein Peer-to-Peer-Botnetz, d. h. sein Befehls- und Kontrollserver ist nicht auf einen einzigen, zentralisierten Rechner beschränkt, sondern kann von jedem Rechner in seinem verteilten Netzwerk aus gesteuert werden. Mit anderen Worten: Jeder Host, auf dem der Malware-Prozess läuft, wird Teil des Netzwerks und ist in der Lage, die Befehle zur Steuerung von Rechnern im Netzwerk zu senden, zu empfangen und auszuführen.
FritzFrog verbreitet sich über SSH. Sobald er die Anmeldeinformationen eines Servers mithilfe einer einfachen (aber aggressiven) Brute-Force-Technik gefunden hat, baut er eine SSH-Sitzung mit dem neuen Opfer auf und legt die ausführbare Malware auf dem Host ab. Die Malware beginnt dann zu lauschen und auf Befehle zu warten. Zu diesen Befehlen gehören der Austausch von Zielen, die Weitergabe von Details über kompromittierte Rechner und die Übertragung von Dateien sowie die Ausführung von Skripten und binären Nutzdaten.
Unmittelbar nach der Veröffentlichung der Details über das P2P-Botnetz „FritzFrog“ (August 2020), das für Brute-Force-Massenangriffe auf SSH-Server verantwortlich ist, hat das Guardicore Labs Team (jetzt Akamai Threat Labs) einen starken Rückgang der Angriffsaktivitäten beobachtet. Anfang Dezember 2021 sind die Angriffe wieder stark gestiegen.
Das dezentrale Botnetz greift alle Geräte an, die offenen Zugang zu einem SSH-Service bieten – Cloud-Instanzen, Server in Rechenzentren, Router usw. – und kann auf infizierten Knoten Malware jeder Art ausführen.
Ein FritzFrog-Angriff beginnt mit einem SSH-Brute-Force-Angriff und wird mit einer Datei fortgesetzt, die abgelegt und ausgeführt wird. Diese Datei beginnt sofort, Port 1234 zu überwachen und Tausende von Internet-IP-Adressen über Port 22 und 2222 zu scannen.
Ein Unterschied zwischen den alten FritzFrog-Angriffen und den neuen Angriffen ist der Name des bösartigen Prozesses. In der ersten Runde der Angriffe hieß der bösartige Prozess ifconfig oder nginx; dieses Mal wählten die FritzFrog-Betreiber den Namen apache2.
FritzFrog hat eine neue Version veröffentlicht, die die Infrastruktur für das Tracking von WordPress-Servern implementiert. Sie enthält Funktionen, die für das Hinzufügen und Entfernen von Einträgen in Listen mit dem Titel WordPress und WordPressTargetsTTL verantwortlich sind. Zum Zeitpunkt der Erstellung dieses Berichts waren diese Listen – die auf allen infizierten Knoten gespeichert sind – noch leer.
Einige der wichtigsten aktuellen Beobachtungen:
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…