FritzFrog se ha encontrado en varias redes desde principios de año.
Se ha descubierto una nueva forma de malware peer-to-peer (P2P) que establece un nuevo estándar para la maldad. Denominado FritzFrog (sitio en inglés), se ha encontrado en varias redes desde principios de año. ¿Por qué es tan notable? Varias razones: no tiene archivos, funciona completamente descentralizado, se escribió desde cero, se actualiza y mejora con frecuencia y aún no ha sido reclamado por ningún actor de amenazas conocido . Examinemos cada uno de estos puntos.
El malware sin archivos usa código que ya existe en el punto final promedio de Windows, como PowerShell, la interfaz de administración de Windows y Visual Basic. (Hay casos sin archivos de Linux, que es en lo que se ejecuta FritzFrog). Es desagradable porque nada se adhiere al punto final que identifica de manera única cualquier malware, y puede persistir después de un reinicio en circunstancias especiales. Para ocultarse, utiliza nombres ejecutables de programas comunes como ifconfig y nginx, que a primera vista parecen benignos pero son nombres de piezas legítimas de herramientas de software de Linux.
El código de FritzFrog también está ingeniosamente elaborado . Muchas muestras de malware utilizan patrones de ataque anteriores de código abierto o bien conocidos. Esta rana es más un príncipe y única. Lo que es más preocupante es que los investigadores han catalogado 20 versiones diferentes desde que encontraron las primeras muestras en enero. Estas nuevas versiones contienen datos sobre objetivos recién identificados y qué puntos finales tienen copias activas del malware en ejecución.
También fue difícil averiguar su estructura de comando , principalmente porque no tenía ningún servidor centralizado. Probablemente todos recordamos cómo WannaCry fue derribado por un simple hackeo (sitio en inglés) a su servidor de comando por Marcus Hutchins. FritzFrog estaba completamente descentralizado y funcionaba utilizando una red P2P para controlar su funcionamiento y distribuir las cargas de trabajo. Piense en ese último elemento por un momento: el código tiene una técnica de equilibrio de carga interesante para distribuir los ataques entre los nodos P2P, de modo que dos nodos nunca intenten atacar el mismo punto final de destino. Eso muestra una cuidadosa atención a los detalles. A esto se agregó la capacidad del malware de utilizar comunicaciones cifradas a través de SSH para evitar aún más la detección.
Lo que es aún más preocupante es que el protocolo P2P que usa no es una imitación rápida, sino que es patentado y recién acuñado solo para su propio propósito nefasto . Esta red P2P se utiliza para compartir archivos para infectar nuevos terminales y ejecutar cargas útiles maliciosas, como el software de criptominería Monero (sitio en inglés).
Los investigadores de Guardicore Labs han compartido su propio guión de detección (sitio en inglés) que utilizaron para descubrir las ranas. El script busca procesos de comportamiento extraño que no tengan ningún archivo ejecutable existente que se ejecute en el puerto 1234. Ese puerto tiene usos legítimos (sitio en inglés), como para transmitir archivos de video VLC y algunos juegos en línea. Pero también ha visto una variedad de tráfico de malware a lo largo de los años.
¿Qué puedes aprender de los ataques de las ranas?
Algunas cosas: primero, si su solución de seguridad solo busca puertos y protocolos, necesita mejorar su juego y encontrar un producto mejor que pueda escanear en busca de procesos y ataques más sofisticados. En segundo lugar, si aún no está utilizando MFA para fortalecer su colección de contraseñas (sitio en inglés), particularmente entre su equipo de desarrollo, ahora es el momento de participar.
Debido a que la rana usa SSH para comunicarse, debe examinar todo su equipo, incluidos los enrutadores y otros dispositivos de IoT, y apagar el acceso SSH si no lo está usando o cambiarlo a un puerto no estándar si lo está. Finalmente, debe asegurarse de que las claves de cifrado utilizadas por FritzFrog no sean parte de sus colecciones de claves autorizadas, porque eso indicaría que ya ha penetrado en su red.