Um backdoor anteriormente não documentado foi observado visando sistemas Linux com o objetivo de encurralar as máquinas em uma botnet e atuar como um canal para baixar e instalar rootkits.A equipe de segurança Netlab do Qihoo 360 o chamou de B1txor20 "com base em sua propagação usando o nome de arquivo 'b1t', o algoritmo de criptografia XOR e o comprimento da chave do algoritmo RC4 de 20 bytes".Observado pela primeira vez se propagando por meio da vulnerabilidade Log4j em 9 de fevereiro de 2022, o malware aproveita uma técnica chamada DNS tunneling para criar canais de comunicação com servidores de comando e controle (C2) codificando dados em consultas e respostas DNS.
O B1txor20, embora também com alguns bugs, atualmente suporta a capacidade de obter um shell, executar comandos arbitrários, instalar um rootkit, abrir um proxy SOCKS5 e funções para enviar informações confidenciais de volta ao servidor C2.Depois que uma máquina é comprometida com sucesso, o malware utiliza o túnel DNS para recuperar e executar comandos enviados pelo servidor.“O bot envia as informações confidenciais roubadas, resultados de execução de comandos e qualquer outra informação que precise ser entregue, depois de ocultá-la usando técnicas de codificação específicas, para C2 como uma solicitação de DNS”, elaboraram os pesquisadores."Depois de receber a solicitação, C2 envia a carga útil para o lado Bot como resposta à solicitação DNS. Dessa forma, Bot e C2 conseguem comunicação com a ajuda do protocolo DNS."Um total de 15 comandos são implementados, sendo o principal deles o upload de informações do sistema, execução de comandos arbitrários do sistema, leitura e gravação de arquivos, inicialização e interrupção de serviços de proxy e criação de shells reversos.
O SIEM FLSys - Ajuda você e sua empresa a monitorar, mapear e encontrar soluções para todo tipo de vulnerabilidade.
Comentários
Postar um comentário