一种名为“FritzFrog”的高级僵尸网络的新变种已通过 Log4Shell 进行传播。
Log4j 的严重漏洞已经存在两年多了 首先释放 来到这个地球,但攻击者仍然 善用它作为 许多组织仍未打补丁。尤其是在其网络中看似安全的区域。
与大多数 Log4Shell 攻击不同,FritzFrog(一种基于 Golang 的点对点僵尸网络)并不针对面向互联网的系统和服务。相反,它的技巧是在内部网络资产中搜索并传播组织不太可能修补的相同漏洞。
而Log4Shell只是FritzFrog的新花样之一。 Akamai 安全研究员、1 月 XNUMX 日发布的报告的作者 Ori David 解释道:“对于开发人员来说,这似乎是一个正在进行的项目,他们会随着时间的推移对其进行调整。”僵尸网络。”
FritzFrog 如何传播
从历史上看,FritzFrog 喜欢通过使用弱 SSH 密码暴力破解面向互联网的服务器来感染网络。新变种基于这种策略,通过读取受感染主机上的多个系统日志,目的是识别更多潜在的薄弱目标以在网络中传播。
除了弱密码之外,现在它还扫描 Log4Shell 漏洞。
“它会通过查找弱 SSH 密码来危害您环境中的资产,然后扫描您的整个内部网络并查找不会受到正常 Log4Shell 攻击的易受攻击的应用程序,”David 解释道,他指的是基于 Web 的攻击。
正如他在报告中所写,该策略非常有效,因为“首次发现漏洞时,面向互联网的应用程序被优先进行修补,因为它们存在重大的妥协风险。相比之下,不太可能被利用的内部机器经常被忽视并且未打补丁——FritzFrog 利用了这种情况。”
FritzFrog 的其他新技巧
改进的网络扫描和 Log4Shell 漏洞利用只是 FritzFrog 的最新升级中的两项。
为了使特权升级变得轻而易举,它现在正在利用 CVE-2021-4034,Polkit 中内存损坏漏洞的“高”CVSS 7.8(满分 10)。尽管距离披露已经过去了两年时间, 微不足道的漏洞 Polkit 可能很普遍,因为大多数 Linux 发行版中都默认安装了 Polkit。
FritzFrog 的开发者也对隐形进行了很多思考。除了 TOR 支持和杀死系统中不相关恶意软件的“防病毒”模块之外,新变体还利用了 Linux 的两个方面: /开发/shm 共享内存文件夹,以及 创建memfd 函数,它创建存储在 RAM 中的匿名文件。每个目标都是通过避免接触磁盘来降低检测风险。
自 20,000 年首次发现以来,这些技巧等导致该僵尸网络对 1,500 多名受害者发起了 2020 多次攻击。
但大卫说,对于拥有如此多种武器的广泛传播的恶意软件来说,它的弱点非常简单:“FritzFrog 以两种方式传播:弱 SSH 密码和 Log4Shell。因此,缓解这种情况的最佳方法是拥有良好的密码,并修补系统。”
