Este nuevo gusano para Windows y Linux
escrito en Python combina ransomware, minado, botnet y capacidad de
auto-propagación
Ha sido detectado un nuevo tipo de malware
del que se sospecha que podría estar detrás Iron Group, un grupo cibercriminal
chino ya conocido. Esta nueva amenaza destaca por contar con un amplio abanico
de funciones, entre las que se encuentran ransomware (borra datos de varios
tipos de bases de datos), botnet (comunicándose a servidores C2), ataques por
fuerza bruta a múltiples servicios (MySQL, VNC, etc.), explotación de servicios
para propagación (Hadoop, Redis y ActiveMQ) y minado. Además del alto número de
opciones (que podrían ir incrementándose con el tiempo), este malware destaca
por ejecutarse tanto en Windows como en Linux.
El principal riesgo que trae este
malware es su capacidad como ransomware, afectando a las bases de datos MySQL,
PostgreSQL y MongoDB, de las cuales borra todos sus datos y crea una nueva
tabla con la información para realizar el pago. A pesar de que la cuantía por
recuperar la información es relativamente pequeña (0,02 bitcoin, 125$ en estos
momentos), no debería hacerse el pago bajo ningún concepto, porque el atacante
no ha añadido un método de recuperación. El malware no sólo intenta acceder a
las bases de datos conectándose a ellas, sino que además cuenta con métodos
alternativos como utilizando PhpMyAdmin.
Otra de las características incluidas
son sus funcionalidades como botnet para analizar máquinas remotas. Para su
funcionamiento, hace uso de 3 tipos de servidores C2: uno del que obtiene IPs y
dominios (públicos) a analizar, otro del que obtiene contraseñas a probar, y
finalmente otro al que envía los resultados. El malware cuenta con un amplio
número de servicios a examinar por si estuviesen disponibles, y en caso de
tener éxito (y si el servicio está implementado), intenta romper la contraseña
haciendo uso de los diccionarios. Los servidores C2 se encuentran en el código,
y todas las comunicaciones se realizan usando HTTP.
Para su propagación, se aprovecha de
vulnerabilidades ya conocidas en Hadoop (sin CVE, de 2016), Redis (sin CVE
también, 2015) y ActiveMQ (CVE-2016-3088), lo que urge aún más actualizar
dichos servicios si no lo estuviesen ya. Para infectar las máquinas
vulnerables, el gusano se descarga así mismo desde uno de los servidores C2
disponibles, además del Coinminer empleado por el grupo criminal. Incluso para
la instalación del malware cuenta con funciones para detectar si la máquina es
Windows o Linux, para así realizar la instalación de la forma correcta.
Python, el lenguaje de programación
empleado, destaca por permitir un desarrollo rápido y fácil, al mismo tiempo
que facilita incorporar mejoras al software. Este lenguaje de script es
multiplataforma, ventaja que aprovecha para ampliar el número las plataformas a
infectar. Para su instalación, utiliza PyInstaller, un contenedor que incluye
todas las dependencias de Python necesarias. Además, ofusca el código para
impedir que sea detectado y dificultar su análisis, aunque ya está siendo
detectado por varios antivirus.
Tendremos que estar atentos al avance
de este malware, que podría variar en los próximos meses para soportar nuevos
métodos de ataque y propagación. Mientras tanto, se recomienda utilizar
contraseñas seguras en la configuración de los servicios, mantener el software
actualizado y realizar backups (sobre todo de bases de datos).
Más información:
·
Xbash
Combines Botnet, Ransomware, Coinmining in Worm that Targets Linux and Windows:
https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows
·
Vulnerabilidad
Hadoop: https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/linux/http/hadoop_unauth_exec.rb
·
Redis
Remote Command Execution: https://packetstormsecurity.com/files/134200/Redis-Remote-Command-Execution.html
·
Resultados
VirusTotal: https://www.virustotal.com/#/file/f808a42b10cf55603389945a549ce45edc6a04562196d14f7489af04688f12bc/detection
Fuente:
Hispasec