FritzFrog: Ausgeklügeltes P2P-Botnetz infiziert hunderte Server
Sicherheitsforscher sind einem der bisher wohl ausgeklügelsten und größten Botnetze auf die Spur gekommen. Die Infrastruktur besteht aus gekaperten Servern und lässt sich selbst von deren Administratoren nur schwer entdecken und im Ganzen auch kaum abschalten.
Entdeckt wurde das Botnetz von den Guardicore Labs, die es auf den Namen "FritzFrog" tauften. Anders als die meisten anderen Netzwerke dieser Art entstammt der Trojaner, der Systeme in die Infrastruktur eingliedert, nicht aus einem der verschiedenen Exploit-Baukästen, wie sie auf dem Schwarzmarkt leicht zu bekommen sind. Vielmehr wurde der Schadcode von Grund auf neu für diese Aufgabe entwickelt. Weiterhin pflegen ihn die Betreiber intensiv und seit Januar wurden schon 20 neue Versionen in den Einsatz geschickt.
Der Trojaner nistet sich auf den befallenen Rechnern ausschließlich im Arbeitsspeicher ein und hinterlässt so auf den Festspeichern keine Spuren, die von aufmerksamen Administratoren und Scannern mehr oder weniger leicht zu entdecken wären. Die Infektionen erfolgen über Schwachstellen in SSH-Servern, die auf den meisten Geräten aktiv sind, da sie für den administrativen Zugriff benötigt werden.
Die Sicherheitsforscher haben bisher rund 500 Server ausfindig gemacht, die nachweislich infiziert sind. Wie groß die Dunkelziffer ist, lässt sich kaum sagen. Die meisten betroffenen Systeme stehen laut den bisherigen Erkenntnissen an Universitäten in den USA und Europa, aber auch bei einem Eisenbahn-Unternehmen. Die Infrastruktur ist in der Lage, eine ganze Reihe von Befehlen und Skripten auszuführen, so dass sie sich zu verschiedenen Zwecken einsetzen lässt.
Der Trojaner nistet sich auf den befallenen Rechnern ausschließlich im Arbeitsspeicher ein und hinterlässt so auf den Festspeichern keine Spuren, die von aufmerksamen Administratoren und Scannern mehr oder weniger leicht zu entdecken wären. Die Infektionen erfolgen über Schwachstellen in SSH-Servern, die auf den meisten Geräten aktiv sind, da sie für den administrativen Zugriff benötigt werden.
Abschaltung ist schwer
Das Botnetz selbst arbeitet auf Basis eines Peer-to-Peer-Konzepts. Passend signierte Anweisungen von Seiten der Betreiber werden also von Knoten zu Knoten weitergereicht. Da so der zentrale Kontroll-Server wegfällt, ist es schwieriger, das gesamte Botnetz abzuschalten. Möglich wird dies im Grunde nur, wenn es gelingt, von Außen selbst Befehle einzuschleusen. In Teilen ist dies auch schon gelungen.Die Sicherheitsforscher haben bisher rund 500 Server ausfindig gemacht, die nachweislich infiziert sind. Wie groß die Dunkelziffer ist, lässt sich kaum sagen. Die meisten betroffenen Systeme stehen laut den bisherigen Erkenntnissen an Universitäten in den USA und Europa, aber auch bei einem Eisenbahn-Unternehmen. Die Infrastruktur ist in der Lage, eine ganze Reihe von Befehlen und Skripten auszuführen, so dass sie sich zu verschiedenen Zwecken einsetzen lässt.
Siehe auch:
Infografik: Was ist ein Botnetz
Thema:
Aktuelle Filesharing-Downloads
Videos zum Thema
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Sony will von PC nichts mehr wissen, entfernt alle Verweise darauf
- FritzOS 8.24: Neues Labor-Update startet für zwei FritzRepeater
- Großer Juni-Sale: Neue Weekend-Deals jetzt bei Media Markt & Saturn
- Unreal Engine 6: Epic enthüllt das Release-Jahr und neue Features
- Epic Games Store 2.0: Launcher bekommt riesiges 'Rettungs'-Update
- Gutachten: Reiches neues Heizungsgesetz ist verfassungswidrig
- Geld-Glitch in Forza Horizon 6: Studio bestrafte Exploit-Nutzer
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen