FritzFrog kripto madenciliği botnet’inin büyüme için yeni bir potansiyeli var: Botun yakın zamanda analiz edilen bir çeşidi, yanal hareket ve ayrıcalık yükseltme için Log4Shell (CVE-2021-44228) ve PwnKit (CVE-2021-4034) güvenlik açıklarından yararlanıyor.
FritzFrog botnet’i
İlk olarak Ağustos 2020’de tanımlanan FritzFrog botnet, Golang’da yazılmış kötü amaçlı yazılım tarafından desteklenen, eşler arası (merkezi olarak kontrol edilmeyen) bir botnet’tir.
Oturum açma kimlik bilgilerini kaba kuvvet kullanarak SSH sunucularını hedef alıyor ve dünya çapında binlercesinin güvenliğini aşmayı başardı.
Akamai Güvenlik İstihbarat Grubu (SIG), “Güvenliği ihlal edilen her ana bilgisayar, FritzFrog ağının bir parçası haline geliyor; bilgileri, yükleri ve yapılandırmayı paylaşmak için virüslü eşleriyle iletişim kuruyor” dedi.
Botnet’in nihai hedefi, ele geçirilen sunucuları gizli kripto madenciliği için kullanmaktır.
FritzFrog botnet’in yeni yetenekleri
Bot kötü amaçlı yazılımı, yeni ve geliştirilmiş yeteneklerle sürekli olarak güncellenir.
“[FritzFrog’s] P2P uygulamasının sıfırdan yazılması, bize saldırganların son derece profesyonel yazılım geliştiricileri olduğunu hatırlattı.” diye belirtti araştırmacılar.
Kötü amaçlı yazılımın en son sürümleri, SSH kaba kuvvet yoluyla veya kötü şöhretli Log4Shell güvenlik açığından yararlanarak iç ağdaki tüm ana bilgisayarları hedeflemeye çalışır.
Güvenlik araştırmacısı Ori David, “FritzFrog, 8080, 8090, 8888 ve 9000 bağlantı noktaları üzerinden HTTP sunucularını arayarak potansiyel Log4Shell hedeflerini belirliyor. Güvenlik açığını tetiklemek için, bir saldırganın savunmasız log4j uygulamasını bir yük içeren verileri günlüğe kaydetmeye zorlaması gerekiyor” dedi.
“FritzFrog, Log4Shell yükünü çok sayıda HTTP başlığına göndererek bunlardan en az birinin uygulama tarafından günlüğe kaydedilmesini umuyor. Bu kaba kuvvet istismarı yaklaşımı, çok çeşitli uygulamaları etkileyebilecek genel bir Log4Shell istismarı olmayı hedefliyor.”
Yaratıcıları, birçok kuruluşun Log4Shell’i internete yönelik uygulamalara yamalamış olduğu ancak aynı şeyi dahili varlıklar üzerinde henüz yapmamış olmasından yararlanıyor.
FritzFrog ayrıca PolKit Linux bileşenindeki bir güvenlik açığı olan PwnKit’ten (CVE-2021-4034) yararlanmaya çalışıyor. pkexec FritzFrog’un ikili dosyasını nihai olarak yüklemek ve yürütmek için kök ayrıcalıklarıyla çalışan ikili (zayıf bir kullanıcı tarafından yürütüldüğünde bile).
Araştırmacılar, PolKit’in çoğu Linux dağıtımında varsayılan olarak önceden yüklenmiş olarak geldiğinden, yama uygulanmamış birçok cihazın savunmasız kaldığını belirtti.
Son olarak FritzFrog, mümkün olduğunca dosyaları diske bırakmamaya dikkat ederek tespit edilmekten kurtulmayı başarır.
Savunma tedbirleri
Araştırmacılar, kurumsal savunucuların SSH sunucularını FritzFrog enfeksiyonu göstergeleri açısından kontrol etmek için kullanabileceği bir algılama komut dosyası sağladı.
Ancak genel olarak yöneticiler, sunucularına SSH erişimini uzun ve benzersiz parolalarla ve çok faktörlü kimlik doğrulamayı etkinleştirerek güvence altına almaya dikkat etmelidir.
Ağ bölümlendirmesi FritzFrog’un (ve diğer kötü amaçlı yazılımların) yanal hareket yeteneklerini engelleyebilir. Araştırmacılar, “Yazılım tabanlı segmentasyon, uzun süreli savunma etkisine sahip, hızlandırma için nispeten basit bir çözüm olabilir” sonucuna vardı.