Por Enric Mañez, enterprise sales executive senior de Akamai  

FritzFrog es una red de bots peer-to-peer, lo que significa que su servidor de comando y control (C&C) no se limita a una sola máquina centralizada, sino que puede hacerse desde cada máquina de su red distribuida. En otras palabras, cada host que ejecuta el proceso de malware se convierte en parte de la red, y es capaz de enviar, recibir y ejecutar los comandos para controlar las máquinas en la red.

Se propaga a través de SSH. Una vez que encuentra las credenciales de un servidor mediante una sencilla y agresiva técnica de fuerza bruta, establece una sesión SSH con la nueva víctima e instala el malware en el host. Este comienza a escuchar y a esperar comandos. Estos comandos incluyen el intercambio de objetivos, compartir los detalles de las máquinas comprometidas y transferir archivos, así como ejecutar scripts y otros binarios.

Consideramos que FritzFrog es una botnet de «nueva generación» debido a una combinación de propiedades que la hacen única en el panorama de las amenazas:

• Actualización constante – Las bases de datos de los objetivos y las máquinas vulneradas se intercambian sin problemas
• Agresivo: la fuerza bruta se basa en un extenso diccionario y no sólo utiliza el nombre de usuario «root».
• Eficiente – Los objetivos se distribuyen uniformemente entre los nodos
• Propietario – El protocolo P2P es completamente propietario

FritzFrog v2 – el resurgimiento

Justo después de publicar los detalles sobre FritzFrog en agosto de 2020, el equipo de Guardicore Labs (ahora Akamai Threat Labs) notó un descenso en el número de incidentes de ataque. Sin embargo, a principios de diciembre de 2021, empezamos a ver un repunte de los ataques hacia nuestra red global de sensores.

Un ataque FritzFrog comienza con una fuerza bruta SSH, y continúa con la instalación y ejecución de un proceso que comienza a escuchar en el puerto 1234 y a escanear miles de direcciones IP de Internet a través de los puertos 22 y 2222.

Una diferencia entre los antiguos ataques y los nuevos es el nombre del proceso malicioso. En la primera ronda, el proceso malicioso se llamaba ifconfig o nginx; esta vez el nombre es apache2.

Análisis de las víctimas

Como parte de nuestra investigación sobre la primera campaña de FritzFrog, desarrollamos una herramienta llamada Frogger que nos permite recopilar información sobre los hosts infectados, incluyendo su tiempo de actividad, hashrate, peers y hasrate, si se está ejecutando un cryptominer. Este programa toma la dirección IP de un nodo infectado y lo consulta a través de un canal de comunicación cifrado para recibir información sobre su estado.

Nuestro análisis de las víctimas se basó en dos fuentes: las direcciones IP de las máquinas que atacaron nuestros sensores y la información obtenida por Frogger. Es decir, comenzamos con la lista de IPs de atacantes vistas por nuestros sensores, y luego ampliamos esa lista consultando a cada una de ellas por sus peers, usando Frogger, recursivamente.

Nuevas capacidades de malware

FritzFrog está escrito en Golang y puede ser compilado para ejecutarse en muchas arquitecturas diferentes. Se empaqueta utilizando UPX y suele ejecutarse bajo uno de los cuatro nombres de proceso: ifconfig, nginx, apache2 o php-fpm.  Se actualiza diariamente, a veces varias veces al día. La mayoría de las nuevas versiones implican correcciones de errores, pero algunas añaden nuevas capacidades al malware.

Preparación para el ataque a WordPress

FritzFrog ha lanzado una nueva versión que implementa la infraestructura para rastrear los servidores de WordPress. Contiene funciones responsables de añadir y eliminar entradas de las listas tituladas WordPress y WordPressTargetsTTL.

Cadena de proxies Tor

FritzFrog puede usar proxy para las conexiones SSH salientes utilizando la cadena de proxy Tor estableciendo el proxy para conexiones SSH al puerto local 9050. La cadena de proxy Tor es una red de nodos que proporciona a sus usuarios una mejor privacidad y enmascaramiento usando encapsulación desde el origen hasta el destino; cada nodo sólo es consciente de sus nodos vecinos directos. 

Al hacer proxy de las peticiones al puerto local 9050, FritzFrog utiliza la cadena proxy Tor para conectarse a los dispositivos SSH propios. Un dispositivo propio vería la petición entrante como procedente del último nodo en la cadena proxy. Esto puede ser utilizado para ocultar la dirección de los nodos infectados actuales. A día de hoy, aunque la funcionalidad existe, todavía no hemos visto que esta capacidad sea utilizada por el malware.

SCP

FritzFrog utiliza ahora SCP para copiarse a sí mismo en un servidor remoto comprometido. Esto es diferente de la primera versión, en la que el ejecutable del malware llegaba a una nueva víctima utilizando el comando cat a través de una sesión SSH establecida. La nueva implementación utiliza una biblioteca SCP pública escrita en Golang en GitHub. No pudimos determinar ninguna ventaja significativa de un método sobre el otro.

Lista de bloqueo

La primera versión de FritzFrog implementó una lista de bloqueo, para excluir máquinas específicas de ser violadas por el módulo de cracker (fuerza bruta). Mientras que un comando P2P especial, putblentry, permite la inserción dinámica de entradas en esta lista, las nuevas versiones codifican varias entradas por adelantado.