Los investigadores han encontrado lo que creen que es una red de bots no descubierta anteriormente que utiliza medidas inusualmente avanzadas para atacar de forma encubierta a millones de servidores en todo el mundo.
La botnet utiliza software patentado escrito desde cero para infectar servidores y acorralarlos en una red de igual a igual, informaron el miércoles investigadores de la firma de seguridad Guardicore Labs. Las botnets P2P distribuyen su administración entre muchos nodos infectados en lugar de depender de un servidor de control para enviar comandos y recibir datos robados. Sin un servidor centralizado, las redes de bots son generalmente más difíciles de detectar y cerrar.
“Lo intrigante de esta campaña fue que, a primera vista, aparentemente no había un servidor de comando y control (CNC) conectado”, escribió el investigador de Guardicore Labs, Ophir Harpaz. “Fue poco después del comienzo de la investigación cuando comprendimos que no existía CNC en primer lugar”.
La botnet, que los investigadores de Guardicore Labs han llamado FritzFrog, tiene una serie de otras características avanzadas, que incluyen:
- Cargas útiles en memoria que nunca tocan los discos de los servidores infectados.
- Al menos 20 versiones del software binario desde enero.
- Un enfoque único en infectar servidores de shell seguro, o SSH, que los administradores de red usan para administrar máquinas.
- La capacidad de servidores infectados de puerta trasera.
- Una lista de combinaciones de credenciales de inicio de sesión utilizadas para descubrir contraseñas de inicio de sesión débiles que es más «extensa» que las de las botnets vistas anteriormente.
Junta todo eso y…
En conjunto, los atributos indican un operador por encima del promedio que ha invertido recursos considerables para construir una red de bots que sea efectiva, difícil de detectar y resistente a los derribos. La nueva base de código, combinada con versiones que evolucionan rápidamente y cargas útiles que se ejecutan solo en la memoria, dificulta que el antivirus y otras protecciones de punto final detecten el malware.
El diseño peer-to-peer dificulta que los investigadores o las fuerzas del orden cierren la operación. El medio típico de eliminación es tomar el control del servidor de comando y control. Con servidores infectados con FritzFrog que ejercen un control descentralizado entre sí, esta medida tradicional no funciona. Peer-to-peer también hace que sea imposible examinar los servidores de control y los dominios en busca de pistas sobre los atacantes.
Harpaz dijo que los investigadores de la compañía tropezaron por primera vez con la botnet en enero. Desde entonces, dijo, se ha dirigido a decenas de millones de direcciones IP pertenecientes a agencias gubernamentales, bancos, empresas de telecomunicaciones y universidades. La botnet ha logrado hasta ahora infectar 500 servidores pertenecientes a «universidades reconocidas en los EE. UU. y Europa, y una compañía ferroviaria».
con todas las funciones
Una vez instalada, la carga útil maliciosa puede ejecutar 30 comandos, incluidos los que ejecutan scripts y descargan bases de datos, registros o archivos. Para evadir los firewalls y la protección de puntos finales, los atacantes envían comandos a través de SSH a un cliente netcat en la máquina infectada. Netcat luego se conecta a un «servidor de malware». (La mención de este servidor sugiere que la estructura peer-to-peer de FritzFrog puede no ser absoluta. O es posible que el «servidor de malware» esté alojado en una de las máquinas infectadas, y no en un servidor dedicado. Los investigadores de Guardicore Labs no estaban t inmediatamente disponible para aclarar.)
Para infiltrarse y analizar la botnet, los investigadores desarrollaron un programa que intercambia claves de cifrado que la botnet usa para enviar comandos y recibir datos.
“Este programa, al que llamamos frogger, nos permitió investigar la naturaleza y el alcance de la red”, escribió Harpaz. «Usando frogger, también pudimos unirnos a la red ‘inyectando’ nuestros propios nodos y participando en el tráfico P2P en curso».
Antes de que las máquinas infectadas se reinicien, FritzFrog instala una clave de cifrado pública en el archivo «authorized_keys» del servidor. El certificado actúa como una puerta trasera en caso de que se cambie la contraseña débil.
La conclusión de los hallazgos del miércoles es que los administradores que no protegen los servidores SSH con una contraseña segura y un certificado criptográfico ya pueden estar infectados con malware que es difícil de detectar para el ojo inexperto. El informe tiene un enlace a indicadores de compromiso y un programa que puede detectar máquinas infectadas.
