บอทเน็ตขั้นสูงรูปแบบใหม่ที่เรียกว่า “FritzFrog” ได้รับการแพร่กระจายผ่าน Log4Shell
เป็นเวลากว่าสองปีแล้วนับตั้งแต่ช่องโหว่ร้ายแรงใน Log4j ปลดปล่อยครั้งแรก มายังโลกนี้แต่ผู้โจมตียังคงอยู่ ใช้มันให้เกิดประโยชน์เป็น หลายองค์กรยังคงไม่ได้รับการติดตั้ง. ดูเหมือนว่าโดยเฉพาะอย่างยิ่งในพื้นที่ที่ปลอดภัยของเครือข่ายของพวกเขา
แตกต่างจากการโจมตี Log4Shell ส่วนใหญ่ FritzFrog ซึ่งเป็นบอตเน็ตแบบ peer-to-peer ที่ใช้ Golang ไม่ได้กำหนดเป้าหมายระบบและบริการที่เชื่อมต่อกับอินเทอร์เน็ต เคล็ดลับคือการค้นหาและแพร่กระจายผ่านช่องโหว่เดียวกันในทรัพย์สินเครือข่ายภายในที่องค์กรต่างๆ มีโอกาสน้อยที่จะแพทช์
และ Log4Shell เป็นเพียงหนึ่งในเทคนิคใหม่ของ FritzFrog “ดูเหมือนว่าสำหรับนักพัฒนาแล้ว นี่เป็นโปรเจ็กต์ที่กำลังดำเนินอยู่ พวกเขากำลังปรับตัวตามกาลเวลา” Ori David นักวิจัยด้านความปลอดภัยของ Akamai ผู้เขียนรายงานที่เผยแพร่เมื่อวันที่ 1 กุมภาพันธ์ อธิบาย “ใช่แล้ว มันค่อนข้างซับซ้อน บ็อตเน็ต”
FritzFrog แพร่กระจายอย่างไร
ในอดีต FritzFrog ชอบแพร่ระบาดบนเครือข่ายโดยเซิร์ฟเวอร์ที่บังคับใช้อินเทอร์เน็ตอย่างดุร้ายด้วยรหัสผ่าน SSH ที่อ่อนแอ ตัวแปรใหม่นี้สร้างจากกลยุทธ์นี้โดยการอ่านบันทึกของระบบหลายรายการบนโฮสต์ที่ถูกบุกรุก โดยมีจุดประสงค์เพื่อระบุเป้าหมายที่อาจอ่อนแอมากขึ้นเพื่อแพร่กระจายไปยังเครือข่าย
นอกจากรหัสผ่านที่ไม่รัดกุมแล้ว ปัจจุบันยังสแกนหาช่องเปิดของ Log4Shell อีกด้วย
“มันจะประนีประนอมสินทรัพย์ในสภาพแวดล้อมของคุณโดยการค้นหารหัสผ่าน SSH ที่อ่อนแอ จากนั้นมันจะสแกนเครือข่ายภายในทั้งหมดของคุณและค้นหาแอพที่มีช่องโหว่ที่จะไม่ถูกโจมตีจากการโจมตี Log4Shell ปกติ” David อธิบายโดยอ้างถึงการโจมตีบนเว็บ
ตามที่เขาเขียนไว้ในรายงานของเขา กลยุทธ์ดังกล่าวทำงานได้ดีตั้งแต่ “เมื่อพบช่องโหว่ครั้งแรก แอปพลิเคชันที่เชื่อมต่อกับอินเทอร์เน็ตได้รับการจัดลำดับความสำคัญในการแก้ไข เนื่องจากมีความเสี่ยงสูงที่จะถูกประนีประนอม ในทางตรงกันข้าม เครื่องจักรภายในซึ่งมีโอกาสน้อยที่จะถูกเอารัดเอาเปรียบ มักจะถูกละเลยและยังคงไม่ได้รับแพตช์ ซึ่งเป็นสถานการณ์ที่ FritzFrog ใช้ประโยชน์จาก”
เคล็ดลับใหม่อื่นๆ ของ FritzFrog
การสแกนเครือข่ายที่ได้รับการปรับปรุงและการใช้ประโยชน์จาก Log4Shell เป็นเพียงการอัพเกรดล่าสุดของ FritzFrog สองรายการ
เพื่อให้การยกระดับสิทธิพิเศษเป็นเรื่องง่าย ตอนนี้มันกำลังหาประโยชน์อยู่ CVE-2021-4034ช่องโหว่ CVSS 7.8 จาก 10 คะแนนจากช่องโหว่หน่วยความจำเสียหายใน Polkit แม้ว่าจะผ่านไปสองปีแล้วนับตั้งแต่มีการเปิดเผยสิ่งนี้ ข้อบกพร่องเล็กน้อยเพื่อใช้ประโยชน์ อาจแพร่หลายเนื่องจากมีการติดตั้ง Polkit เป็นค่าเริ่มต้นในลีนุกซ์ส่วนใหญ่
นักพัฒนา FritzFrog ยังได้ให้ความสำคัญกับการลักลอบอีกด้วย นอกจากการรองรับ TOR และโมดูล “แอนติไวรัส” ซึ่งฆ่ามัลแวร์ที่ไม่เกี่ยวข้องในระบบแล้ว เวอร์ชันใหม่ยังใช้ Linux สองด้าน: /dev/shm โฟลเดอร์หน่วยความจำที่ใช้ร่วมกัน และไฟล์ memfd_create ฟังก์ชั่นซึ่งสร้างไฟล์ที่ไม่ระบุชื่อที่จัดเก็บไว้ใน RAM เป้าหมายของแต่ละข้อคือการลดความเสี่ยงในการตรวจจับโดยหลีกเลี่ยงการสัมผัสดิสก์
เทคนิคเหล่านี้มีส่วนช่วยในการโจมตีบอทเน็ตมากกว่า 20,000 ครั้งต่อเหยื่อมากกว่า 1,500 รายนับตั้งแต่พบครั้งแรกในปี 2020
แต่สำหรับมัลแวร์ที่แพร่กระจายอย่างกว้างขวางซึ่งมีอาวุธหลากหลายให้เลือกใช้ David กล่าวว่าคริปโตไนต์ของมันนั้นเรียบง่ายมาก: “FritzFrog แพร่กระจายในสองวิธี: รหัสผ่าน SSH ที่อ่อนแอและ Log4Shell ดังนั้นวิธีที่ดีที่สุดในการบรรเทาผลกระทบก็คือการมีรหัสผ่านที่ดีและแพตช์ระบบของคุณ”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/threat-intelligence/fritzfrog-botnet-exploits-log4shell-overlooked-internal-hosts
