Análisis de malware
Botnet DreamBus: un análisis
31 de mayo de por Pedro Tavares
Una nueva variante de la amenaza SystemdMiner denominada DreamBus está afectando a los servidores Linux de todo el mundo para extraer criptomonedas.
Los servidores Linux desempeñan un papel importante en las infraestructuras basadas en la nube. Este sistema operativo se utiliza ampliamente para que sitios web y plataformas estén disponibles en línea, ya que los costos de mantenimiento de este tipo de servidores y licencias son menores en comparación con los sistemas operativos de Microsoft.
Recientemente, los ciberdelincuentes lanzaron una nueva variante de la amenaza SystemdMiner con nuevas mejoras y características. Los productos de seguridad detectan mal los módulos DreamBus y apuntan a aplicaciones de nivel empresarial que se ejecutan en sistemas Linux, incluidos PostgreSQL, Redis, Hadoop, YARN, Apache Spark, HashiCorp Consul, SalStack y el servicio SSH.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Modificación del empacador para evadir el análisis.
DreamBus inicia su operación a partir de un binario ELF (ejecutable de Unix) responsable de configurar el entorno, infectar los sistemas de copias de sí mismo (capacidad de gusano), descargar nuevos módulos para difundir e implementar XMRig para minar la criptomoneda Monero.
El empaquetador UPX se utiliza para proteger este malware, evadir su análisis y reducir su tamaño. El encabezado UPX – ¡UPX! (0x21585055): se modifica y reemplaza con el valor 0x3330dddf para dificultar la identificación del empaquetador.
1: encabezado UPX modificado – DreamBus.
Cómo funciona DreamBus
DreamBus es un malware compuesto por varios módulos y una función de actualización automática. Parte de los comandos y componentes de C2 se alojan mediante la red TOR o un servicio de alojamiento anónimo para compartir archivos. Para aprovechar los sistemas de destino, el malware explota varias aplicaciones, incluidas SSH, PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul y SaltStack.
Según el análisis de Zscaler ThreatLabZ, muchos complementos de DreamBus comparten código, por ejemplo, para crear un archivo de bloqueo llamado 22 en el directorio /tmp/.X11-unix/, y la mayoría establece el nombre del hilo de llamada en tracepath. Esto tiene como objetivo disfrazar los módulos de DreamBus y hacerlos parecer legítimos (ya que muchos módulos se descargan con nombres de archivos generados pseudoaleatoriamente).
2: Diagrama de alto nivel de la arquitectura de la botnet DreamBus.
Además, se instala un servicio proxy como tor2web para traducir solicitudes entre TOR e Internet si los sistemas comprometidos no tienen TOR instalado.
Módulos DreamBus
Una vez instalado en una máquina de destino, el bot intenta propagarse a tantos sistemas como sea posible. DreamBus escanea sistemas vulnerables en una intranet local en los rangos 172.16.0.0/12, 192.168.0.0/16 y 10.0.0.0/8.
Los módulos se descargan en tiempo de ejecución y explotan los servicios que se presentan a continuación.
Solicitud de nombre de ruta de explotación exitosa/int.arch Módulo esparcidor principal/sh.arch fuerza bruta SSH/pg.arch o /pgl.arch PostgreSQL/rd.arco o /rdl.arco Redis/hdl.arcoHilo de Hadoop/sp.arco Apache Spark/csl.arch Cónsul de HashiCorp/st.arco SaltStack
Algunas de estas aplicaciones reciben ataques de fuerza bruta contra sus nombres de usuario de administrador predeterminados, otras con comandos maliciosos enviados a puntos finales de API expuestos o mediante exploits para vulnerabilidades más antiguas.
La etapa final de este malware es descargar e instalar una aplicación de código abierto que extrae la criptomoneda Monero (XMR) para generar ganancias para los delincuentes.
Además, cada uno de los servidores infectados también se utiliza como un bot en la operación DreamBus para lanzar más ataques de fuerza bruta contra otros posibles objetivos.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Detener los ataques de DreamBus
DreamBus es una botnet modular basada en Unix que afecta a sistemas de todo el mundo con un comportamiento similar al de un gusano. El malware puede propagarse internamente escaneando rangos de subredes RFC 1918 privados en busca de sistemas vulnerables, utilizando contraseñas comunes y predeterminadas mediante fuerza bruta o exploits específicos de la aplicación.
Los actores de amenazas detrás de DreamBus están geolocalizados en o cerca de Rusia según el momento en que se envían nuevos comandos durante la operación de malware.
Detener la actividad de cryptojacking con agentes de monitoreo es la clave para prevenir este tipo de malware: buscar signos como reducción de la velocidad y el rendimiento de procesamiento de la computadora, aumento del uso de electricidad, sobrecalentamiento de los dispositivos y aumento de las demandas de la CPU. Además, la monitorización a nivel de host debe tenerse en cuenta como primer paso de seguridad.
Fuentes:
DreamBus Botnet – Análisis técnico, Zscaler (nombre del artículo con hipervínculo aquí: https://www.zscaler.com/blogs/security-research/dreambus-botnet-technical-analysis )
El empaquetador definitivo para ejecutables, UPX ( https://upx.github.io/ )