saverioriotto.it

B1txor20: La botnet Linux che utilizza il tunnel DNS e l'exploit Log4J

Una botnet scoperta di recente in fase di sviluppo attivo prende di mira i sistemi Linux, tentando di irretirli in un esercito di bot pronti a rubare informazioni sensibili, installare rootkit, creare shell inverse e fungere da proxy web.

B1txor20: La botnet Linux che utilizza il tunnel DNS e l'exploit Log4J

Il nuovo malware, soprannominato B1txor20 dai ricercatori del Network Security Research Lab (360 Netlab) di Qihoo 360, concentra i suoi attacchi su dispositivi con architettura CPU Linux ARM e X64

La botnet utilizza exploit mirati alla vulnerabilità di Log4J per infettare nuovi host, un vettore di attacco molto interessante visto che decine di fornitori utilizzano la vulnerabile libreria di logging Apache Log4j. I ricercatori hanno individuato per la prima volta la botnet B1txor20 il 9 febbraio quando il primo campione è stato intrappolato da uno dei loro sistemi honeypot. In tutto, hanno catturato un totale di quattro campioni di malware, con funzionalità backdoor, proxy SOCKS5, download di malware, furto di dati, esecuzione arbitraria di comandi e installazione di rootkit.

Tunneling DNS utilizzato per nascondere il traffico di comunicazione C2

Tuttavia, ciò che distingue il malware B1txor20 è l'uso del tunneling DNS per i canali di comunicazione con il server di comando e controllo (C2), una tecnica vecchia ma ancora affidabile utilizzata dai malintenzionati per sfruttare il protocollo DNS per eseguire il tunneling di malware e dati tramite query DNS.

I ricercatori hanno spiegato che il bot invia le informazioni sensibili rubate, i risultati dell'esecuzione dei comandi e qualsiasi altra informazione che deve essere consegnata, dopo averla nascosta utilizzando specifiche tecniche di codifica, a C2 come richiesta DNS. Dopo aver ricevuto la richiesta, C2 invia il payload al Bot in risposta alla richiesta DNS. In questo modo, Bot e C2 ottengono la comunicazione con l'aiuto del protocollo DNS.

Inoltre hanno anche scoperto che mentre gli sviluppatori del malware includevano un insieme più ampio di funzionalità, non tutte erano ancora abilitate. Questo è probabilmente un segno che le funzionalità disabilitate sono ancora difettose e i creatori di B1txor20 stanno ancora lavorando per migliorarle e attivarle in futuro.

Conclusione

Dal momento che la vulnerabilità di Log4J è stata esposta, vediamo sempre più malware saltati sul carro, Elknot, Gafgyt, Mirai ecc. Queste botnet sono state viste "reclutare" dispositivi e server IoT e utilizzarli per distribuire minatori di criptovalute ed eseguire attacchi DDoS su larga scala.




Commenti
* Obbligatorio