Une nouvelle forme de malware peer-to-peer (P2P) a été découverte et établit une nouvelle barre pour la méchanceté. Appelé FritzFrog (frog signifiant grenouille en français), ce malware a été retrouvé dans divers réseaux depuis le début de l'année. Pourquoi est-ce si remarquable ? Plusieurs raisons : il est sans fichier, fonctionne complètement décentralisé, a été écrit à partir de zéro, est fréquemment mis à jour et amélioré, et n'a encore été revendiqué par aucun acteur de menace connu. Examinons chacun de ces points.
Les logiciels malveillants sans fichier utilisent du code qui existe déjà sur le point de terminaison Windows moyen, tel que PowerShell, Windows Management Interface et Visual Basic. (Il existe des cas sans fichier Linux, sur lesquels fonctionne FritzFrog.) J'ai une explication plus complète sur le sujet ici. C'est désagréable car rien ne colle au point de terminaison qui identifie de manière unique les logiciels malveillants, et il peut persister après un redémarrage. Pour se cacher, il utilise des noms d'exécutables de programmes courants tels que ifconfig et nginx, qui à première vue semblent bénins mais sont des noms d'outils logiciels Linux légitimes.
Le code de FritzFrog est également intelligemment conçu. De nombreux échantillons de logiciels malveillants utilisent des modèles d'attaque open source existants ou bien connus. Cette grenouille est un prince et unique. Ce qui est plus troublant, c'est que les chercheurs ont catalogué 20 versions différentes depuis qu'ils ont trouvé les premiers échantillons en janvier. Ces nouvelles versions contiennent des données sur les cibles nouvellement identifiées et sur les points de terminaison disposant de copies actives en cours d'exécution du malware.
Il était également difficile de comprendre sa structure de commande, principalement parce qu'il n'avait pas de serveurs centralisés. Nous nous souvenons probablement tous comment WannaCry a été détruit par un simple piratage de son serveur de commande par Marcus Hutchins. FritzFrog était complètement décentralisé et fonctionnait en utilisant un réseau P2P pour contrôler son fonctionnement et répartir les charges de travail. Pensez à ce dernier élément pendant un moment : le code a une technique d'équilibrage de charge intéressante pour répartir les attaques sur les nœuds P2P, de sorte qu'aucun nœud n'essaie jamais d'attaquer le même point de terminaison cible. Cela montre une attention particulière aux détails. A cela s'ajoutait la capacité du malware à utiliser des communications cryptées via SSH pour éviter davantage la détection.
Ce qui est encore plus troublant, c'est que le protocole P2P qu'il utilise n'est pas une imitation rapide, mais plutôt propriétaire et nouvellement créé juste pour son propre but néfaste. Ce réseau P2P est utilisé pour partager des fichiers pour infecter de nouveaux points de terminaison ainsi que pour exécuter des charges utiles malveillantes, telles que le logiciel de cryptage Monero.
Les chercheurs de Guardicore Labs ont partagé leur propre script de détection qu'ils ont utilisé pour dénicher les grenouilles. Le script recherche des processus au comportement étrange qui n'ont pas de fichiers exécutables existants fonctionnant sur le port 1234. Ce port a des utilisations légitimes, telles que la diffusion de fichiers vidéo VLC et quelques jeux en ligne. Mais il a également connu une variété de trafic de logiciels malveillants au fil des ans.
Que pouvez-vous apprendre des attaques de grenouilles ?
Premièrement, si votre solution de sécurité recherche simplement des ports et des protocoles, vous devez améliorer votre jeu et trouver un meilleur produit capable de rechercher des processus et des attaques plus sophistiquées. Deuxièmement, si vous n'utilisez toujours pas l'authentification multi-facteur (MFA) pour renforcer votre collecte de mots de passe, en particulier au sein de votre équipe de développement, le moment est venu de vous y intéresser.
Étant donné que la grenouille utilise le SSH pour communiquer, vous devez examiner tout votre équipement - y compris les routeurs et autres appareils IoT - et désactiver l'accès SSH si vous ne l'utilisez pas ou le changer pour un port non standard. Enfin, vous devez vous assurer que les clés de chiffrement utilisées par FritzFrog ne font pas partie de vos collections de clés autorisées, car cela indiquerait qu'elle a déjà pénétré votre réseau.
NOUS AVONS BESOIN DE VOUS : aidez-nous à combattre les pirates informatiques en nous envoyant les e-mails et SMS frauduleux que vous recevez (transfert d'e-mails, liens suspicieux ou captures d'écran) à l'adresse signalement@avast.com
Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre antivirus gratuit primé.
