Existem muitas ameaças na rede que podem colocar em risco todos os tipos de dispositivos, e isso também inclui o próprio roteador. Neste artigo falamos sobre o Botnet FrtizFrog , um botnet capaz de atacar servidores SSH, servidores de data center e também roteadores. É um problema que afetou muitos países do mundo, incluindo a Espanha. Também daremos algumas dicas para se proteger.
FritzFrog Botnet, mais um problema para roteadores
Segurança pesquisadores detectaram que essa ameaça está presente há dois anos. Contudo, Akamai analistas descobriram que uma nova versão foi lançada com um recurso exclusivo que é capaz de usar a cadeia de proxy Tor. Ele tem como alvo principalmente servidores SSH expostos em sistemas educacionais, governamentais e de saúde.
Este malware foi escrito em Golang e é considerado uma ameaça avançada e sofisticada. Um botnet de última geração capaz de comprometer servidores e roteadores. É capaz de combinar diferentes propriedades para atingir seu objetivo.
Dentro destas propriedades, destaca-se a constante atualização de todas as bases de dados dos alvos e equipamentos que conseguiram atacar. Também se caracteriza por sua agressividade ao realizar ataques de força bruta, com um extenso dicionário. Além disso, é muito eficiente, pois todos os alvos são distribuídos uniformemente entre os nós.
É, portanto, um malware muito sofisticado. Possui quatro processos:
- ifconfig
- nginx
- apache2
- php-fpm
Outra peculiaridade que o FritzFrog Botnet tem é que é atualizado diariamente e até várias vezes ao dia. Desta forma, destaca-se como uma ameaça sofisticada e avançada, capaz de colocar em risco muitos usuários e organizações.
Como evitar esta ameaça
Os pesquisadores de segurança da Akamai traçaram um roteiro para evitar o FritzFrog Botnet e garantir que os servidores sejam adequadamente protegidos. Eles deram as seguintes pistas para saber se esta ameaça é executada no sistema:
- Execute processos chamados nginx, ifconfig, php-fpm, apache2 ou libexec, cujo arquivo executável não existe mais no sistema de arquivos
- Ouça na porta 1234
- O tráfego TCP na porta 5555 envolve o tráfego de rede para o pool Monero.
Mas além de explicar alguns pontos importantes para saber se nosso servidor foi afetado por essa ameaça, eles deram algumas recomendações gerais que podemos colocar em prática. O objetivo é prevenir o FritzFrog Botnet e maximizar a segurança:
- Permitir auditoria de login com um aviso
- Monitore o arquivo authorized_hosts no Linux
- Configurar uma lista de permissões de login SSH explícitas
- Sempre permitir acesso SSH root
- Permitir proteção DNS baseada em nuvem
Resumindo, essas são as principais dicas da Akamai para serem protegido contra esta ameaça de segurança recentemente atualizada . Mas, além disso, sempre recomendamos proteger adequadamente o roteador contra ataques DDoS e qualquer dispositivo conectado à rede. Isso significa principalmente criptografá-los com uma boa senha e atualizar o firmware sempre que possível para corrigir vulnerabilidades.