FritzFrog è stato trovato in varie reti dall’inizio dell’anno.
È stata scoperta una nuova forma di malware peer-to-peer (P2P) che stabilisce un nuovo limite di pericolosità. Chiamato FritzFrog, è stato trovato in varie reti dall’inizio dell’anno. Perché è così degno di nota? Diverse ragioni: è fileless, opera in maniera completamente decentralizzata, è stato scritto da zero, frequentemente aggiornato e migliorato e non è ancora stato rivendicato da nessun gruppo o autore di minacce. Esaminiamo ciascuno di questi punti.
Il malware fileless utilizza codice già esistente nei classici endpoint Windows, come PowerShell, Windows Management Interface e Visual Basic (ci sono casi fileless su Linux, appunto FritzFrog). È pericoloso perché non rimane nulla sull’endpoint, condizione che solitamente identifica in modo univoco qualsiasi malware e può persistere dopo un riavvio in circostanze speciali. Per nascondersi, utilizza nomi di programmi eseguibili comuni come ifconfig e nginx, che a prima vista sembrano legittimi ma che di fatto nascondono la payload del malware.
Anche il codice di FritzFrog è realizzato in modo intelligente. Molti malware fanno uso di schemi di attacco esistenti open source o già noti in passato. Questo invece è speciale, praticamente unico. Ciò che è più preoccupante è che i ricercatori hanno catalogato 20 diverse versioni da quando hanno trovato i primi campioni a gennaio. Queste nuove versioni contengono dati sulle destinazioni appena identificate e su quali endpoint hanno copie attive del malware.
Inoltre era difficile capire la sua struttura di comando, principalmente perché non aveva server centralizzati. Probabilmente tutti ricordiamo come WannaCry sia stato arrestato da un semplice hack al server di comando di Marcus Hutchins. FritzFrog funziona in maniera completamente decentralizzata e opera utilizzando una rete P2P per controllarne il funzionamento e distribuire le payload. Soffermiamoci su quest’ultimo elemento per un momento: il codice ha un’interessante tecnica di bilanciamento del carico per distribuire gli attacchi sui nodi P2P, in modo che nessun nodo tenti mai di attaccare lo stesso endpoint di destinazione. Ciò mostra una certa attenzione ai dettagli. A ciò si è aggiunta la capacità del malware di utilizzare comunicazioni crittografate tramite SSH per evitare il rilevamento.
Ciò che è ancora più preoccupante è che il protocollo P2P che utilizza non è un classico knock-off, ma è invece proprietario e creato di recente solo per completare i suoi scopi nefasti. Questa rete P2P viene utilizzata per condividere file per infettare nuovi endpoint e per eseguire payload dannose, come il software di cryptomining Monero.
I ricercatori dei Guardicore Labs hanno condiviso il loro script di rilevamento usato per scovare questo malware. Lo script cerca processi che si comportano in modo anomalo e che non hanno file eseguibili esistenti in esecuzione sulla porta 1234. Quella porta ha usi legittimi, come per lo streaming di file video VLC e alcuni giochi online. Ma negli anni è stata spesso sfruttata anche da tantissimi malware.
Cosa possiamo imparare dagli attacchi di questo malware?
In primo luogo, se la propria soluzione di sicurezza sta solo cercando porte e protocolli, occorre rafforzare le proprie difese e trovare un prodotto migliore in grado di eseguire la scansione di processi e attacchi più sofisticati. In secondo luogo, se non si sta ancora utilizzando un sistema di MFA per mettere in sicurezza la raccolta di password, in particolare tra il team di sviluppo, ora è il momento di farlo.
Poiché FritzFrog utilizza il protocollo SSH per comunicare, bisognerebbe esaminare tutti i dispositivi, inclusi router e altri device IoT, e disattivare l’accesso SSH se non viene utilizzato oppure modificarlo in una porta non standard se è necessario per qualche attività. Infine, bisognerebbe assicurarsi che le chiavi crittografiche utilizzate da FritzFrog non facciano parte delle raccolte di chiavi autorizzate, perché ciò indicherebbe che è già penetrato nella rete.
Lascia un commento