È stata recentemente individuata un’evoluzione significativa della botnet FritzFrog, originariamente identificata nel 2020 e che mostra ora nuove e preoccupanti funzionalità.
Tra le nuove minacce individuate, emerge la capacità di FritzFrog di scandagliare la rete interna alla ricerca di applicazioni non esposte su Internet ma vulnerabili a Log4Shell e la sua attività sui sistemi Linux, con potenziale escalation dei privilegi attraverso l’exploit della nota vulnerabilità polkit CVE-20221-4034.
FritzFrog, la sofisticata botnet peer-to-peer che prende di mira i server SSH: i dettagli
Indice degli argomenti
I dettagli della botnet FritzFrog
FritzFrog è una sofisticata botnet peer-to-peer (P2P) basata su Golang, compilata sia per macchine AMD sia ARM, che si è evoluta nel corso degli anni aggiungendo e migliorando funzionalità.
Dal 2020 principalmente nota per aver violato attivamente i server SSH, ha fatto registrare ben oltre 20.000 attacchi e più di 1.500 vittime.
Lo sfruttamento della vulnerabilità Log4Shell
Come accennato prima, la nuova variante della botnet FritzFrog cerca di prendere di mira quelle macchine interne a una rete che, in genere vengono ritenute meno esposte allo sfruttamento di vulnerabilità e, per questo motivo, lasciate prive di patch per Log4Shell.
In tal caso, infatti, anche se le applicazioni rivolte a Internet sono state patchate, la violazione di una qualsiasi risorsa nella rete da parte di FritzFrog potrebbe esporre allo sfruttamento le postazioni interne senza patch.
Per lo sfruttamento di questa vulnerabilità, ribattezzata dai ricercatori di Akamai come “Frog4Shell”, il malware FritzFrog avvia una routine di diffusione tramite la funzione Go standard “net__Interface_Addrs” cercando di identificare sottoreti e indirizzi raggiungibili.
Fonte: Akamai.
In pratica, FritzFrog identifica potenziali obiettivi Log4Shell cercando server HTTP sulle porte 8080, 8090, 8888 e 9000 e, per attivare la vulnerabilità, forza l’applicazione log4j vulnerabile a registrare i dati contenenti un payload.
“FritzFrog invia il payload Log4Shell in numerose intestazioni HTTP, sperando che almeno uno di essi venga registrato dall’applicazione. Questo approccio allo sfruttamento della forza bruta mira a essere un exploit Log4Shell generico che può influenzare un’ampia varietà di applicazioni”, commenta il ricercatore di sicurezza di Akamai Ori David.
Questo payload, analizzato in modo errato dalla libreria vulnerabile log4j, forzerà la connessione a un server LDAP per scaricare ed eseguire una classe Java “payload.class”. Al momento dell’esecuzione, tale classe si connetterà via HTTP all’host dell’attaccante per scaricare il file binario del malware FritFrog (“robots.txt”).
Lo sfruttamento della vulnerabilità polkit
Un altro cambiamento notevole nel malware è l’uso del difetto tracciato come CVE-2021-4034 per ottenere l’escalation dei privilegi locali.
Poiché il componente Linux polkit è installato per impostazione predefinita sulla maggior parte delle distribuzioni Linux, la sua vulnerabilità, rivelata da Qualys nel 2022, potrebbe consentire l’escalation dei privilegi su qualsiasi macchina Linux priva di patch.
Pertanto, per sfruttare questa difetto, FritzFrog esegue un ELF scritto in C (“blasty”) caricando il comando SUID “pkexec” vulnerabile ed eseguendo il file “payload.so” deputato ad avviare con privilegi di root il binario di FritzFrog (“root_update”).
Fonte: Akamai.
Prevenzione per difendersi dalla botnet FritzFrog
Oltre ad aggiungere lo sfruttamento Log4Shell e polkit, gli sviluppatori di FritzFrog hanno anche migliorato il suo componente SSH brute force enumerando diversi log di sistema e continuato a prestare particolare attenzione all’evasione della difesa evitando di rilasciare tracce utilizzando due funzionalità Linux “/dev/shm” e “memfd_create” rispettivamente per abilitare l’esecuzione fileless e mappare file in memoria senza rilasciare file su disco.
Il ricercatore di Akamai, nel rimarcare la tendenza di cambiare le tattiche di sfruttamento seguita da diversi autori delle minacce nel corso dell’ultimo anno, avverte che è solo una questione di tempo prima che ulteriori exploit vengano aggiunti dai suoi creatori anche al malware FritzFrog.
Consiglia, altresì, come misura preventiva, di adottare la segmentazione della rete per limitare il movimento laterale e di applicare gli IoC e lo script di rilevamento FritzFrog forniti da Akamai.
