یک نوع جدید از یک بات نت پیشرفته به نام "FritzFrog" از طریق Log4Shell منتشر شده است.

بیش از دو سال از وجود آسیب‌پذیری حیاتی در Log4j می‌گذرد ابتدا آزاد شد تا به این زمین، اما مهاجمان هنوز هستند استفاده خوب از آن، به عنوان بسیاری از سازمان ها بدون اصلاح باقی می مانند. به‌ویژه، به نظر می‌رسد، در مناطق فریب‌آمیز شبکه‌هایشان.

برخلاف اکثر حملات Log4Shell، FritzFrog - یک بات نت همتا به همتا و مبتنی بر Golang - سیستم ها و سرویس های اینترنت را هدف قرار نمی دهد. ترفند آن، در عوض، جستجو و گسترش از طریق همان آسیب‌پذیری در دارایی‌های شبکه داخلی است که سازمان‌ها کمتر احتمال دارد آن را اصلاح کنند.

و Log4Shell تنها یکی از ترفندهای جدید FritzFrog است. اوری دیوید، محقق امنیتی در Akamai، نویسنده گزارشی که در 1 فوریه منتشر شد، توضیح می دهد: "به نظر می رسد، برای توسعه دهندگان، این یک پروژه در حال انجام است - آنها در طول زمان آن را تطبیق می دهند." بات نت.”

چگونه FritzFrog گسترش می یابد

از لحاظ تاریخی، FritzFrog دوست دارد شبکه‌ها را با اعمال فشار بر روی سرورهای اینترنتی با رمزهای عبور ضعیف SSH آلوده کند. نوع جدید بر اساس این تاکتیک با خواندن چندین گزارش سیستم در میزبان های در معرض خطر، با هدف شناسایی اهداف بالقوه ضعیف تر برای گسترش در یک شبکه، ساخته شده است.

علاوه بر گذرواژه‌های ضعیف، امروزه در حال اسکن کردن دهانه‌های Log4Shell نیز هست.

دیوید با اشاره به حملات مبتنی بر وب توضیح می‌دهد: «این یک دارایی در محیط شما را با یافتن یک رمز عبور ضعیف SSH به خطر می‌اندازد، و سپس کل شبکه داخلی شما را اسکن می‌کند و برنامه‌های آسیب‌پذیری را پیدا می‌کند که در معرض حملات عادی Log4Shell قرار نگیرند».

همانطور که او در گزارش خود نوشت، این استراتژی بسیار خوب عمل می کند، زیرا «زمانی که آسیب پذیری برای اولین بار کشف شد، برنامه های کاربردی اینترنت به دلیل خطر قابل توجهی که در معرض خطر قرار گرفتند، برای وصله در اولویت قرار گرفتند. در مقابل، ماشین‌های داخلی، که کمتر مورد بهره‌برداری قرار می‌گرفتند، اغلب نادیده گرفته می‌شدند و بدون اصلاح باقی می‌ماندند - شرایطی که FritzFrog از آن بهره می‌برد.

دیگر ترفندهای جدید FritzFrog

اسکن شبکه بهبود یافته و بهره برداری Log4Shell تنها دو مورد از آخرین به روز رسانی های FritzFrog هستند.

برای اینکه تشدید امتیازات به یک مشکل تبدیل شود، اکنون در حال بهره برداری است CVE-2021-4034، آسیب پذیری خرابی حافظه با رتبه "بالا" CVSS 7.8 از 10 در Polkit. اگرچه دو سال از افشای آن می گذرد، اما این عیب بی اهمیت برای بهره برداری به احتمال زیاد گسترده است زیرا Polkit به طور پیش فرض در اکثر توزیع های لینوکس نصب شده است.

توسعه دهندگان FritzFrog نیز در مورد مخفی کاری فکر کرده اند. نسخه جدید علاوه بر پشتیبانی TOR و یک ماژول «آنتی ویروس» که بدافزار نامرتبط را در یک سیستم از بین می برد، از دو جنبه لینوکس استفاده می کند: /dev/shm پوشه حافظه مشترک و memfd_create تابع، که فایل های ناشناس ذخیره شده در RAM را ایجاد می کند. هدف هر کدام کاهش خطر تشخیص با اجتناب از لمس دیسک است.

این ترفندها، در میان سایر موارد، به حملات بیش از 20,000 بات نت علیه بیش از 1,500 قربانی از زمان اولین شناسایی آن در سال 2020 کمک کرده است.

اما دیوید می‌گوید برای بدافزارهای گسترده با چنین سلاح‌های متنوعی که در اختیار دارد، کریپتونیت آن بسیار ساده است: «FritzFrog به دو صورت منتشر می‌شود: رمزهای عبور ضعیف SSH و Log4Shell. بنابراین بهترین راه برای کاهش آن داشتن گذرواژه‌های خوب و اصلاح سیستم‌های خود است.»

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/threat-intelligence/fritzfrog-botnet-exploits-log4shell-overlooked-internal-hosts