Meldung

Neuer Monero-Schürfer entdeckt

Guardicore hat ein neues P2P-Botnetz namens "FritzFrog" entdeckt, das seit Januar 2020 unbemerkt SSH-Server in Unternehmensumgebungen und Behördennetzen kompromittiert. Den unbekannten Angreifern ist es inzwischen gelungen, weltweit mehr als 500 Server zu infizieren, die von Regierungsstellen, Banken, medizinische Zentren, Telekommunikationsunternehmen sowie renommierten Universitäten in den USA and Europa genutzt werden.
Das Botnetz "FritzFrog" schürft die Kryptowährung Monero auf ungesicherten Servern.
Über Brute-Force-Attacken gewinnt FritzFrog [1] Zugriff auf SSH-Server und baut mehrere Verbindungen zu externen IP-Adressen auf. Durch eine unbemerkte Autorisierung des öffentlichen SSH-Angreiferschlüssels und Belauschen eintreffender Datenverbindungen fügt FritzFrog dann infizierte Rechner einem Peer-to-Peer-Botnet ohne zentralisierte Infrastruktur hinzu, das sich auf mehrere Netzwerkknoten verteilt.

"FritzFrog verfügt über eine spezielle Kombination an Eigenschaften, durch die sich die Schadsoftware von anderen Bedrohungen deutlich unterscheidet", schreibt Ophir Harpaz, Sicherheitsforscherin bei Guardicore, in ihrem Blogbeitrag. "So nutzt FritzFrog aus, dass viele Sicherheitslösungen den Datenverkehr lediglich anhand von Kriterien wie Netzwerk-Port und -Protokoll durchleuchten. Neue Bedrohungen mit verdeckten Angriffstechniken lassen sich indes nur mit prozessbasierten Segmentierungsregeln verhindern."

Botnet schürft nach Kryptowährung Monero

Die Angreifer installieren eine in Golang programmierte Malware, die als modularer, hochkomplexer und dateiloser Wurm nur im Arbeitsspeicher ausgeführt wird und so auf infizierten Rechnern keine Spuren hinterlässt. Auch nach System-Reboots können Angreifer ein einmal infiziertes System erneut kompromittieren, weil die Zugangsdaten per Netzwerk-Peering weitergegeben werden.

Die proprietäre Malware kann über 30 Shell-Befehle auf dem lokalen Rechner ausführen, beispielsweise um den Systemstatus regelmäßig abzufragen. Diese Statistiken werden mit den anderen Knoten im Peer-to-Peer-Netzwerk ausgetauscht, um abschätzen zu können, ob der Betrieb eines Kryptominers lohnt. In einem separaten Prozess namens "libexec" schürft die Schadsoftware dann digitale Münzen in der Währung Monero.

Die FritzFrog-Angreifer leiten ihren Datenverkehr nicht über einen Standard-Port wie 1234, der von Firewalls leicht erkannt und blockiert würde. Stattdessen nutzen die FritzFrog-Entwickler kreative Verfahren, um unerkannt zu bleiben und unter dem Radar zu operieren. Shell-Kommandos werden nicht direkt über Port 1234 gesendet, sondern auf folgende Weise weitergegeben: Der Angreifer verbindet sich mit dem kompromittierten System per SSH und führt auf dem lokalen Rechner einen Netcat-Client aus, der wiederum eine Verbindung mit dem Malware-Server aufbaut. Ab diesem Zeitpunkt wird jeder über SSH ausgetauschte Befehl von Netcat ausgeführt und an die Malware weitergegeben.

FritzFrog-P2P-Kommunikation stoppen

Mit "Frogger" hat Guardicore Labs ein Client-Programm geschrieben, das die FritzFrog-P2P-Kommunikation unterbindet und den Schlüsselaustausch mit der Malware übernimmt. Gleichzeitig sucht das in Golang geschriebene Programm nach mehreren Indikatoren, die auf eine FritzFrog-Infektion hinweisen. So kann eine Kompromittierung vorliegen, wenn die laufenden Prozesse nginx, ifconfig oder libexec auf dem Dateisystem nicht mehr ausgeführt werden. Neben Port 1234 wird auch der TCP-Traffic über Port 5555 untersucht, um eine Datenverbindung mit dem Monero-Mining-Pool erkennen zu können.
24.08.2020/dr

Tipps & Tools

Vorschau Februar 2021: Sichere Virtualisierung [18.01.2021]

Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet IT-Administrator den Themenschwerpunkt "Sichere Virtualisierung". Darin erfahren Sie, auf welchen Wegen Sie Ihre Hyper-V-Umgebung schützen und Backups ihrer virtuellen Umgebungen erstellen. Außerdem lesen Sie im Februar, was die Cybersicherheitsagentur ENISA in Sachen sichere Virtualisierung vorgibt und wie Sie Befehle in Kubernetes mit StatusBay analysieren, bevor diese zur Anwendung kommen. In den Tests werfen wir unter anderem einen Blick auf die Veeam Availability Suite. [mehr]

Red Team Services verbessern die IT-Sicherheit [14.01.2021]

Red Team Services unterstützen Unternehmen durch Angriffssimulationen bei der Ermittlung von Sicherheitsschwachstellen. Organisationen können damit nicht nur feststellen, wie effektiv ihre bisher getroffenen Schutzmaßnahmen sind, sondern auch wie anfällig sie im Gesamtsystem für einen Angriff sind. Auf dieser Informationsbasis sind IT-Verantwortliche in der Lage, Verbesserungsmöglichkeiten zu identifizieren und konkrete Sicherheitsverfahren und -maßnahmen zu evaluieren, mit denen sie die Sicherheit nachhaltig erhöhen können. [mehr]

Fachartikel

Schatten-IT in der Teamkommunikation vermeiden [6.01.2021]

In Zeiten des mobilen Arbeitens und zunehmender Cyberkriminalität wird es immer wichtiger, dass Unternehmen potenzielle IT-Sicherheitslücken in der eigenen IT-Landschaft schließen. Die Crux: Aufgrund fehlender Lösungen greifen Mitarbeiter auf unautorisierte Consumer-Apps zurück, etwa WhatsApp. Eine derartige Schatten-IT gefährdet aber die Datensicherheit. Der Beitrag gibt sieben Tipps, wie IT-Administratoren die Teamkommunikation sicher gestalten und was bei der Auswahl entsprechender Werkzeuge zu beachten ist. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen