Fileless P2P Botnet ระบาดผ่าน SSH Servers!

P2P botnet ที่ถูกเขียนขึ้นมาชื่อ FritzFrog เป็น multi-threaded และ file-less botnet 500 กว่าตัวที่แพร่กระจายเข้าไปยัง Servers จนถึงทุกวันนี้ มีการระบาดเข้าไปแม้กระทั่งมหาวิทยาลัยที่มีชื่อเสียงในสหรัฐอเมริกา ยุโรป และบริษัทรถไฟ ตามรายงานที่ถูกปล่อยออกมาโดย Guardicore Labs 

นอกเหนือจาก P2P protocol จะถูกเขียนขึ้นมาใหม่ตั้งแต่ต้น ช่องทางการสื่อสารได้มีการเข้ารหัสพร้อมกับ malware ที่มีความสามารถในการสร้าง backdoor ลงบนเครื่องเหยื่อ ทำให้ผู้โจมตีเข้ามาในเครื่องของเหยื่อได้ 

เมื่อ Malware ถูกฝังลงไปบนเครื่องของเหยื่อสำเร็จ มันจะถูกเพิ่มลงไปยัง P2P network ของเหยื่อ มัลแวร์จะทำการ runs ifconfig และ NGINX เพื่อเริ่ม listening port 1234 เตรียมรับ Commands รวมไปถึง syn เข้ากับ database บน network peers ของเหยื่อและทำการ brute-force 

เมื่อ node A ต้องการจะรับไฟล์จาก node B มันจำ query node B ด้วย blobs โดย command getblobstats, Harpaz กล่าวว่า “ทำให้ node A รู้ blob จาก hash ของตัวมันเองหรือทั้ง P2P command getbin / HTTP ผ่าน URL ‘https://node_IP:1234/blob_hash.’ และ เมื่อทุกๆ node A ต้องการ blobs มันจะใช้ module พิเศษที่ชื่อว่า Assemble และทำการ runs

คำแนะนำ เลือกใช้ strong password และใช้การยืนยันตัวตนด้วย public key เพื่อความปลอดภัยที่มากขึ้น ส่วน Router และอุปกรณ์ IoT มักจะตกเป็นเป้าของ FritzFrog ดังนั้นจึงต้องระมัดระวังในเรื่องของการเปลี่ยนพอร์ต SSH หรือให้ทำการปิดการใช้งานมันไปในขณะที่ไม่มีการใช้งาน 

อ้างอิง : https://thehackernews.com/2020/08/p2p-botnet-malware.html 

Share