باتنت FritzFrog یک باتنت پیشرفته توزیعشده است که با زبان Golang نوشته شده و میتواند بر روی دستگاههای مبتنی بر AMD و ARM مستقر شود. این بدافزار با بهروزرسانیهای مداوم، در طول زمان تکامل یافته و ویژگیهای جدیدی به آن افزوده شده است که آن را خطرناکتر کرده است. ویژگیهای جدید عبارتند از:
- بهرهبرداری از آسیبپذیری Log4Shell: نوع جدیدی از باتنت FritzFrog کشف شده است که از آسیبپذیری Log4Shell برای هدف قرار دادن تمام میزبانهای موجود در شبکه داخلی بهرهبرداری میکند.
- حملات بروتفورس SSH: این بدافزار با استفاده از اعتبارنامههای SSH ضعیف به سرورهایی که از طریق اینترنت قابل دسترسی هستند حمله میکند.
- شناسایی اهداف جدید: نسخههای جدیدتر باتنت با خواندن فایلهای سیستمی، اهداف جدیدی را برای حمله پیدا میکنند.
FritzFrog از دو روش اصلی برای نفوذ به شبکه استفاده میکند:
- جستجوی سرورهای HTTP آسیبپذیر:
- این باتنت به دنبال سرورهای HTTP در پورتهای 8080، 8090، 8888 و 9000 است که ممکن است در معرض آسیبپذیری Log4Shell قرار داشته باشند.
- اگر FritzFrog سرور آسیبپذیری را پیدا کند، میتواند از آن برای دسترسی به شبکه داخلی استفاده کند.
- هدف قرار دادن برنامههای آسیبپذیر جاوا:
- FritzFrog به دنبال برنامههای جاوا آسیبپذیر در شبکه شما است.
- اگر این باتنت برنامه آسیبپذیری را پیدا کند، میتواند از آن برای نفوذ به سیستم و سرقت اطلاعات قربانی استفاده کند.
توصیههای امنیتی
- جداسازی شبکه: استفاده از جداسازی شبکه میتواند مانع حرکت جانبی بدافزار شود. جداسازی مبتنی بر نرمافزار میتواند یک اقدام حفاظتی پایدار و نسبتاً آسان برای اجرا باشد.
- اسکریپت تشخیص FritzFrog برای سرورهای SSH: برای کمک به شناسایی FritzFrog در سرورهای SSH، اسکریپتی در دسترس است که به دنبال نشانههای زیر میگردد:
- فرآیندهای در حال اجرا: اگر فرآیندهای با نامهای nginx،ifconfig ، php-fpm، apache2 یا libexec در حال اجرا باشند اما فایل اجرایی آنها در سیستمفایل وجود نداشته باشد، این نشانهای از فعالیت FritzFrog است.
- پورت شنود: اگر پورت 1234 در حال شنود باشد، این نیز میتواند نشانهای از فعالیت FritzFrog باشد.
منبع خبر:
- 51