“FritzFrog” adı verilen gelişmiş bir botnet’in yeni bir çeşidi Log4Shell aracılığıyla yayılıyor.
Log4j’deki kritik güvenlik açığının ortaya çıkmasının üzerinden iki yıldan fazla zaman geçti. ilk kez serbest bırakıldı bu dünyaya, yine de saldırganlar hâlâ onu iyi kullanmakgibi birçok kuruluş yamasız kalıyor. Özellikle ağlarının aldatıcı derecede güvenli alanlarında.
Çoğu Log4Shell saldırısının aksine, eşler arası, Golang tabanlı bir botnet olan FritzFrog, İnternet’e bakan sistemleri ve hizmetleri hedeflemez. İşin püf noktası, kuruluşların yamalama ihtimalinin daha düşük olduğu iç ağ varlıklarındaki aynı güvenlik açığını aramak ve yaymaktır.
Log4Shell ise FritzFrog’un yeni numaralarından sadece bir tanesi. 1 Şubat’ta yayınlanan bir raporun yazarı olan Akamai güvenlik araştırmacısı Ori David şöyle açıklıyor: “Geliştiriciler için bu devam eden bir proje gibi görünüyor; zaman içinde buna uyum sağlıyorlar.” botnet’i.”
FritzFrog Nasıl Yayılır?
Geçmişte FritzFrog, zayıf SSH parolalarına sahip, İnternet’e bakan sunuculara kaba kuvvet kullanarak ağlara bulaşmayı seviyordu. Yeni değişken, bir ağda yayılacak potansiyel olarak daha zayıf hedefleri belirlemek amacıyla, güvenliği ihlal edilmiş ana bilgisayarlardaki çeşitli sistem günlüklerini okuyarak bu taktiğe dayanıyor.
Zayıf şifrelerin yanı sıra günümüzde Log4Shell açıklarını da tarıyor.
David, Web tabanlı saldırılara atıfta bulunarak, “Zayıf bir SSH şifresi bularak ortamınızdaki bir varlığı tehlikeye atacak ve ardından tüm dahili ağınızı tarayacak ve normal Log4Shell saldırılarına maruz kalmayacak savunmasız uygulamaları bulacaktır” diye açıklıyor.
Raporunda yazdığı gibi, strateji o kadar iyi işliyor ki, “Güvenlik açığı ilk keşfedildiğinde, ciddi risk oluşturma riskleri nedeniyle İnternet’e yönelik uygulamalara yama yapılmasına öncelik verildi. Buna karşılık, istismar edilme olasılığı daha düşük olan dahili makineler, çoğu zaman ihmal edildi ve yama yapılmadan kaldı; FritzFrog’un faydalandığı bir durum.”
FritzFrog’un Diğer Yeni Numaraları
Geliştirilmiş ağ taraması ve Log4Shell’den yararlanma, FritzFrog’un en son yükseltmelerinden yalnızca ikisidir.
Ayrıcalık artışını çocuk oyuncağı haline getirmek için şimdi istismar ediliyor CVE-2021-4034, Polkit’teki “yüksek” CVSS 10 üzerinden 7,8 puan alan bellek bozulması güvenlik açığı. Açıklamanın üzerinden iki yıl geçmesine rağmen bu istismar edilebilecek önemsiz kusur Polkit çoğu Linux dağıtımında varsayılan olarak kurulduğundan muhtemelen yaygındır.
FritzFrog geliştiricileri aynı zamanda gizlilik konusuna da epey kafa yormuşlar. TOR desteğinin ve sistemdeki ilgisiz kötü amaçlı yazılımları ortadan kaldıran bir “antivirüs” modülünün yanı sıra, yeni sürüm Linux’un iki yönünden de yararlanıyor: /dev/shm paylaşılan hafıza klasörü ve memfd_create RAM’de saklanan anonim dosyalar oluşturan işlev. Her birinin amacı diske dokunmaktan kaçınarak tespit riskini azaltmaktır.
Bu hileler, diğerlerinin yanı sıra, botnet’in 2020’deki ilk tespitinden bu yana 1.500’den fazla kurbana yönelik 20.000’den fazla saldırıya katkıda bulundu.
Ancak David, elinde bu kadar çeşitli silahlar bulunan yaygın kötü amaçlı yazılımlara karşı, kriptonitinin son derece basit olduğunu söylüyor: “FritzFrog iki şekilde yayılır: zayıf SSH şifreleri ve Log4Shell. Dolayısıyla bunu azaltmanın en iyi yolu, iyi şifrelere sahip olmak olacaktır. ve sistemlerinize yama yapmak için.”
