FritzFrog 僵尸网络利用 Log4Shell、PwnKit 漏洞进行横向移动和权限升级

FritzFrog 加密挖矿僵尸网络具有新的增长潜力：最近分析的该僵尸程序变体正在利用 Log4Shell (CVE-2021-44228) 和 PwnKit (CVE-2021-4034) 漏洞进行横向移动和权限升级。

FritzFrog 僵尸网络

FritzFrog 僵尸网络最初于 2020 年 8 月被发现，是一个点对点（而非集中控制）僵尸网络，由用 Golang 编写的恶意软件提供支持。

它通过暴力破解登录凭据来攻击 SSH 服务器，并已成功入侵全球数千台服务器。

Akamai 安全情报组织 (SIG) 指出：“每台受感染的主机都成为 FritzFrog 网络的一部分，它与受感染的对等主机进行通信以共享信息、有效负载和配置。”

僵尸网络的最终目标是利用受感染的服务器进行秘密加密货币挖掘。

FritzFrog 僵尸网络的新功能

该机器人恶意软件不断更新新的和改进的功能。

“[FritzFrog’s] P2P 实现是从头开始编写的，这提醒我们攻击者是高度专业的软件开发人员，”研究人员指出。

该恶意软件的最新版本尝试通过 SSH 暴力破解或利用臭名昭著的 Log4Shell 漏洞来针对内部网络中的所有主机。

“FritzFrog 通过在端口 8080、8090、8888 和 9000 上查找 HTTP 服务器来识别潜在的 Log4Shell 目标。要触发该漏洞，攻击者需要强制易受攻击的 log4j 应用程序记录包含有效负载的数据，”安全研究人员 Ori David 解释道。

“FritzFrog 在众多 HTTP 标头中发送 Log4Shell 有效负载，希望应用程序至少记录其中之一。这种暴力破解方法旨在成为一种通用的 Log4Shell 漏洞，可以影响各种应用程序。”

它的创建者正在利用这样一个事实：许多组织已经在面向互联网的应用程序上修补了 Log4Shell，但尚未对内部资产进行相同的操作。

FritzFrog 还尝试利用PwnKit (CVE-2021-4034)（PolKit Linux 组件中的一个漏洞）来连接pkexec 二进制文件（该二进制文件以 root 权限运行（即使由弱用户执行）），最终加载并执行 FritzFrog 的二进制。

研究人员指出，由于大多数 Linux 发行版上默认预装了 PolKit，因此许多未打补丁的设备仍然容易受到攻击。

最后，FritzFrog 通过确保尽可能不将文件删除到磁盘上来设法逃避检测。

防御措施

研究人员提供了一个检测脚本，企业防御者可以使用它来检查其 SSH 服务器是否存在 FritzFrog 感染迹象。

不过，一般来说，管理员应注意使用长且唯一的密码并启用多因素身份验证来保护对其服务器的 SSH 访问。

网络分段可以挫败 FritzFrog（和其他恶意软件）的横向移动能力。研究人员总结道：“基于软件的分割可能是一种相对简单的解决方案，具有持久的防御影响。”