В сети существует множество угроз, которые могут подвергнуть риску все виды устройств, в том числе и сам маршрутизатор. В этой статье мы говорим о Ботнет FrtizFrog , ботнет, способный атаковать SSH-серверы, серверы центров обработки данных, а также маршрутизаторы. Это проблема, которая затронула многие страны мира, в том числе Испанию. Мы также дадим несколько советов по защите.
Ботнет FritzFrog, еще одна проблема для роутеров
Безопасность исследователи обнаружили, что эта угроза существует уже два года. Тем не мение, Akamai аналитики обнаружили, что выпущена новая версия с уникальной функцией, способной использовать цепочку прокси Tor. В первую очередь он нацелен на открытые SSH-серверы в системах образования, правительства и здравоохранения.
Это вредоносное ПО было написано на Golang и считается продвинутой и изощренной угрозой. Современный ботнет, способный скомпрометировать серверы и маршрутизаторы. Он способен сочетать различные свойства для достижения своей цели.
В рамках этих свойств выделяется постоянное обновление всех баз данных о целях и технике, которую им удалось атаковать. Он также характеризуется своей агрессивностью при проведении атак методом грубой силы с обширным словарем. Кроме того, это очень эффективно, так как все цели равномерно распределены между узлами.
Таким образом, это очень сложное вредоносное ПО. Он имеет четыре процесса:
- Ifconfig
- Nginx
- apache2
- PHP-FPM
Еще одна особенность ботнета FritzFrog заключается в том, что он обновляется ежедневно и даже несколько раз в день. Таким образом, он выделяется как сложная и продвинутая угроза, способная подвергнуть риску многих пользователей и организации.
Как избежать этой угрозы
Исследователи безопасности Akamai наметили план действий, чтобы избежать ботнета FritzFrog и обеспечить надлежащую защиту серверов. Они дали следующие подсказки знать, если эта угроза работает в системе:
- Запускать процессы с именами nginx, ifconfig, php-fpm, apache2 или libexec, исполняемый файл которых больше не существует в файловой системе.
- Слушайте на порту 1234
- Трафик TCP через порт 5555 включает сетевой трафик к пулу Monero.
Но помимо объяснения некоторых важных моментов, позволяющих узнать, пострадал ли наш сервер от этой угрозы, они дали некоторые общие рекомендации которые мы можем применить на практике. Цель состоит в том, чтобы предотвратить ботнет FritzFrog и обеспечить максимальную безопасность:
- Разрешить аудит входа с предупреждением
- Мониторинг файла author_hosts в Linux
- Настройте список явных разрешений на вход в SSH.
- Всегда разрешать root-доступ по SSH
- Разрешить облачную защиту DNS
Короче говоря, это основные советы, которые дает Akamai. защищен от этой недавно обновленной угрозы безопасности . Но помимо этого мы всегда рекомендуем правильно защищать роутер от DDoS-атак и любое устройство, подключенное к сети. В основном это означает их шифрование с помощью хорошего пароля и обновление прошивки, когда это возможно, для устранения уязвимостей.
