世界中のSSHサーバーをターゲットに感染するP2Pボットネット「FritzFrog」

暗号・認証技術を用いて安全にリモートコンピューターと通信するためのSecure Shell(SSH)サーバーをターゲットとした、新種のP2Pボットネット「FritzFrog」の存在をセキュリティ研究者が報告しています。

FritzFrog: A New Generation of Peer-to-Peer Botnets | Guardicore Labs
https://www.guardicore.com/2020/08/fritzfrog-p2p-botnet-infects-ssh-servers/

New P2P botnet infects SSH servers all over the world | Ars Technica
https://arstechnica.com/information-technology/2020/08/new-p2p-botnet-infects-ssh-servers-all-over-the-world/

FritzFrog malware attacks Linux servers over SSH to mine Monero
https://www.bleepingcomputer.com/news/security/fritzfrog-malware-attacks-linux-servers-over-ssh-to-mine-monero/

セキュリティ企業Guardicoreの研究者が、ゼロから作成された独自のソフトウェアを使用してSSHサーバーに感染するP2Pボットネット「FritzFrog」の存在を報告しています。FritzFrogはP2Pで動作するため、盗んだデータを受信するためにコントロールサーバーに依存するのではなく、感染した多くのノードに管理を分散させるという特徴があります。そのため、一元化されたサーバーが存在せず、発見することが難しいため、完全にシャットダウンさせることが困難です。

Guardicoreのセキュリティ研究者であるOphir Harpaz氏は、「FritzFrogの興味深い点は、一見したところ、接続されている明確なコマンド＆コントロール(CNC)サーバーが存在しない点です。その後、そもそもCNCサーバーが存在しないことが、調査が始まったのちに明らかになりました」と述べています。

なお、FritzFrogでは悪意のあるペイロードを攻撃対象となるサーバーがインストールすることで攻撃が始まります。ペイロードがインストールされると、データベースやログを盗み出したり、ファイルをダウンロードしたりすることが可能となる30種類ほどのコマンドが実行できるようになります。また、ファイアウォールやエンドポイントでの保護を回避するため、FritzFrogはSSHサーバーを介して感染したマシンのNetcatクライアントにコマンドを挿入し、Netcatからマルウェアサーバーに接続するという手法を取っているとのこと。なお、このマルウェアサーバーはFritzFrogに感染したマシンの1つにホストされている可能性が指摘されており、FritzFrogのP2P構造の脆弱性となる見込みがあるとされています。

P2PボットネットであるFritzFrogの特徴について、Guardicoreは以下の通りにまとめています。

・2020年1月以降、ソフトウェアバイナリの少なくとも20バージョンで検出されている。
・ネットワーク管理者がマシンの管理に使用するSSHサーバーへの感染に焦点を当てている。
・感染したサーバーにバックドアを仕込む。
・過去に検出されたボットネットよりも「広範囲」で、脆弱なログインパスワードを推測するために使用されるログイン認証情報の組み合わせリストを使用している。

海外テクノロジーメディアのArs Technicaは、「これらの特徴をまとめると、FritzFrogは効果的で検出が困難で、削除することが難しいボットネットです。そのため、このボットネットを構築するためには相当なリソースが必要であり、使用しているのは平均以上のオペレーターであると推測できます」と記しています。加えて、FritzFrogはメモリ内でのみ実行される急速に進化するバージョンおよびペイロードと組み合わされているとのことで、ウイルス対策やその他のエンドポイント保護によるマルウェア検出にも「強い」と評価されています。

FritzFrogはP2Pで動作するためセキュリティ企業や法執行機関がボットネットの動作を停止することが非常に困難です。この種のマルウェアに対する典型的な対処法は、CNCサーバーの制御を奪取することです。しかし、FritzFrogに感染したサーバーが互いに分散型の制御を実行している場合、この方法では対処不可となります。

Harpaz氏は2020年1月頃に企業内の研究者が最初にFritzFrogを発見したと述べており、それ以降、政府機関や金融機関、通信企業、大学などの所有する何千万ものIPアドレスをターゲットにFritzFrogが感染を広げてきたと語っています。なお、記事作成時点でFritzFrogに感染したのは「アメリカとヨーロッパの有名大学や鉄道会社」などの保有するサーバー500台ほどだそうです。

なお、GuardicoreはFritzFrogに侵入して分析するために、ボットネットがコマンドの送信とデータの受信に使用する暗号化キーを交換するプログラムを開発しています。これについてHarpaz氏は「フロッガーと名付けたこのプログラムにより、ネットワークの性質と範囲を調査することが可能となりました。フロッガーを使用することで、ボットネットに我々のノードを『挿入』し、P2Pトラフィックに参加することで、ネットワークに参加することが可能となりました」と述べています。

指摘されているようにFritzFrogは非常に検出することが困難なボットネットですが、GuardicoreはSSHサーバーで実行するFritzFrog検出スクリプトを公開しており、これを用いることで、サーバー所有者が自身のサーバーがFritzFrogに感染しているかどうかを確認することが可能となります。