یک نوع جدید از یک بات نت پیشرفته به نام "FritzFrog" از طریق Log4Shell منتشر شده است.
بیش از دو سال از وجود آسیبپذیری حیاتی در Log4j میگذرد ابتدا آزاد شد تا به این زمین، اما مهاجمان هنوز هستند استفاده خوب از آن، به عنوان بسیاری از سازمان ها بدون اصلاح باقی می مانند. بهویژه، به نظر میرسد، در مناطق فریبآمیز شبکههایشان.
برخلاف اکثر حملات Log4Shell، FritzFrog - یک بات نت همتا به همتا و مبتنی بر Golang - سیستم ها و سرویس های اینترنت را هدف قرار نمی دهد. ترفند آن، در عوض، جستجو و گسترش از طریق همان آسیبپذیری در داراییهای شبکه داخلی است که سازمانها کمتر احتمال دارد آن را اصلاح کنند.
و Log4Shell تنها یکی از ترفندهای جدید FritzFrog است. اوری دیوید، محقق امنیتی در Akamai، نویسنده گزارشی که در 1 فوریه منتشر شد، توضیح می دهد: "به نظر می رسد، برای توسعه دهندگان، این یک پروژه در حال انجام است - آنها در طول زمان آن را تطبیق می دهند." بات نت.”
چگونه FritzFrog گسترش می یابد
از لحاظ تاریخی، FritzFrog دوست دارد شبکهها را با اعمال فشار بر روی سرورهای اینترنتی با رمزهای عبور ضعیف SSH آلوده کند. نوع جدید بر اساس این تاکتیک با خواندن چندین گزارش سیستم در میزبان های در معرض خطر، با هدف شناسایی اهداف بالقوه ضعیف تر برای گسترش در یک شبکه، ساخته شده است.
علاوه بر گذرواژههای ضعیف، امروزه در حال اسکن کردن دهانههای Log4Shell نیز هست.
دیوید با اشاره به حملات مبتنی بر وب توضیح میدهد: «این یک دارایی در محیط شما را با یافتن یک رمز عبور ضعیف SSH به خطر میاندازد، و سپس کل شبکه داخلی شما را اسکن میکند و برنامههای آسیبپذیری را پیدا میکند که در معرض حملات عادی Log4Shell قرار نگیرند».
همانطور که او در گزارش خود نوشت، این استراتژی بسیار خوب عمل می کند، زیرا «زمانی که آسیب پذیری برای اولین بار کشف شد، برنامه های کاربردی اینترنت به دلیل خطر قابل توجهی که در معرض خطر قرار گرفتند، برای وصله در اولویت قرار گرفتند. در مقابل، ماشینهای داخلی، که کمتر مورد بهرهبرداری قرار میگرفتند، اغلب نادیده گرفته میشدند و بدون اصلاح باقی میماندند - شرایطی که FritzFrog از آن بهره میبرد.
دیگر ترفندهای جدید FritzFrog
اسکن شبکه بهبود یافته و بهره برداری Log4Shell تنها دو مورد از آخرین به روز رسانی های FritzFrog هستند.
برای اینکه تشدید امتیازات به یک مشکل تبدیل شود، اکنون در حال بهره برداری است CVE-2021-4034، آسیب پذیری خرابی حافظه با رتبه "بالا" CVSS 7.8 از 10 در Polkit. اگرچه دو سال از افشای آن می گذرد، اما این عیب بی اهمیت برای بهره برداری به احتمال زیاد گسترده است زیرا Polkit به طور پیش فرض در اکثر توزیع های لینوکس نصب شده است.
توسعه دهندگان FritzFrog نیز در مورد مخفی کاری فکر کرده اند. نسخه جدید علاوه بر پشتیبانی TOR و یک ماژول «آنتی ویروس» که بدافزار نامرتبط را در یک سیستم از بین می برد، از دو جنبه لینوکس استفاده می کند: /dev/shm پوشه حافظه مشترک و memfd_create تابع، که فایل های ناشناس ذخیره شده در RAM را ایجاد می کند. هدف هر کدام کاهش خطر تشخیص با اجتناب از لمس دیسک است.
این ترفندها، در میان سایر موارد، به حملات بیش از 20,000 بات نت علیه بیش از 1,500 قربانی از زمان اولین شناسایی آن در سال 2020 کمک کرده است.
اما دیوید میگوید برای بدافزارهای گسترده با چنین سلاحهای متنوعی که در اختیار دارد، کریپتونیت آن بسیار ساده است: «FritzFrog به دو صورت منتشر میشود: رمزهای عبور ضعیف SSH و Log4Shell. بنابراین بهترین راه برای کاهش آن داشتن گذرواژههای خوب و اصلاح سیستمهای خود است.»
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/threat-intelligence/fritzfrog-botnet-exploits-log4shell-overlooked-internal-hosts