Análisis de malware

Malware Kaiji: qué es, cómo funciona y cómo prevenirlo | Destacado malware

27 de agosto de por Imam Fakhar

Introducción

Trend Micro informó recientemente que ha detectado variantes de dos tipos de malware de botnet para sistemas operativos Linux existentes , conocidos como malware XORDDoS, que tenían como objetivo servidores Docker expuestos. Los nombres de estas dos variantes son “DDoS.Linux.KAIJI.A” y “Backdoor.Linux.XORDDoS.AE”.

Estas variantes de malware allanan el camino para un ataque de denegación de servicio distribuido (DDoS). El ataque DDoS puede interrumpir, deshabilitar o cerrar un servicio, sitio web o red. Esto se hace bloqueando o inundando el sitio web con demasiado tráfico, lo que abruma un sitio web o una red con más tráfico del que pueden acomodar.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

En este artículo, arrojaremos algo de luz sobre el malware Kaiji, incluido cómo funciona y qué medidas preventivas podemos tomar. ¡No temas, la ayuda está en camino!

¿Qué es Kaiji?

Según los investigadores de Intezer Labs, el malware Kaiji ha estado abusando de los sistemas para llevar a cabo ataques de denegación de servicio distribuido (DDoS) y es muy diferente de otras cepas de malware de IoT.

Al igual que otros programas maliciosos de IoT, Kaiji no está escrito en lenguajes C o C++, sino que está codificado en el lenguaje de programación Go.

Los investigadores de Intezer Labs también descubrieron que la botnet Kaiji se creó desde cero utilizando los lenguajes de programación Golang o Go, a diferencia de otros casos en los que la mayoría de las botnets se codificaron utilizando código fuente existente, como en el caso de Mirai, o utilizando conjuntos de herramientas ilegítimos que están disponibles en el mercado negro.

¿Cómo funciona Kaiji?

Según Boris Cipot, ingeniero senior de ciberseguridad de Synopsys, Kaiji se propaga al encontrar puertos SSH expuestos en servidores Linux y dispositivos IoT en Internet. Intenta obtener acceso root a dichos dispositivos con un ataque de fuerza bruta.

Cipot agregó que una vez que el malware Kaiji obtiene acceso root a un dispositivo, comienza a propagarse a otros dispositivos. “También recopilará todas las claves SSH de otros dispositivos administrados o fueron administrados por este usuario root y también los infectará. Luego, Kaiji es manipulado para realizar ataques DDoS (Denegación de Servicio Distribuido) contra los objetivos del emisor”, afirma.

Tan pronto como se establece la conexión SSH, se ejecuta un script bash para configurar el entorno para el malware Kaiji. Crea un directorio /usr/bin/lib para instalarse con el nombre de archivo “netstat”, “ls”, “ps” u otro nombre de herramienta del sistema.

Después de la ejecución, Kaiji se copia a sí mismo en /tmp/seeintlog y lleva a cabo numerosas operaciones maliciosas, como registrar el servidor recientemente comprometido en uno de los servidores de comando y descifrar las direcciones del canal de comando y control (CC).

Por último, la botnet Kaiji obtiene comandos de un servidor CC con instrucciones para ataques DDoS particulares. Después de eso, este malware lanza varios ataques, incluidos SYN, UDP, TCP, suplantación de IP y capacidades de ataque de inundación ACK.

El malware Kaiji explota las vulnerabilidades de los dispositivos de TI. Muchos de los dispositivos de TI disponibles actualmente en el mercado tienen configuraciones de seguridad mal configuradas y puertos de comunicación expuestos, incluso con nombres de usuario y contraseñas preestablecidos o codificados. Muchos servidores back-end también se pueden piratear.

¿Cómo se puede prevenir el malware Kaiji?

• Según Adam Palmer, estratega jefe de seguridad de Tenable, “Siempre que sea posible, se deben impulsar actualizaciones para corregir fallas y evitar que este ejército involuntario de IoT se levante y cumpla las órdenes de sus atacantes”.
• Las empresas deben emplear herramientas de seguridad eficientes para escanear y proteger contenedores y hosts de contenedores, pila de administración y entorno de red.
• Utilice sistemas de control de autenticación, como la autenticación de dos factores o la autenticación de múltiples factores, para evitar la penetración.
• Emplear el Sistema de Prevención de Intrusiones (IPS) o el Sistema de Detección de Intrusiones (IDS) y herramientas de filtrado web
• Utilice criptografía ligera y robusta para IoT
• Utilice la seguridad cognitiva y computacional de IoT
• Detecte la botnet Kaiji a tiempo monitoreando el tráfico de la red. Cuando el tráfico alcance su límite normal, establezca un límite de velocidad; hacerlo permite que un servidor acepte solo solicitudes que puede manejar
• Utilice una red de distribución de contenido (CDN) que le permita almacenar datos en múltiples servidores. Al hacerlo, se evita que los ataques DDoS sobrecarguen el servidor de alojamiento porque un usuario puede acceder a datos de otros servidores que posiblemente no estén bajo ataque.

La línea de fondo

Kaiji es una de las variantes de dos tipos de malware botnet para sistemas operativos Linux existentes, conocidos como malware XORDDoS, que apuntaban a servidores Docker expuestos. Esto allana el camino para ataques DDoS que pueden interrumpir, deshabilitar o cerrar un sitio web de servicio o una red. Kaiji también compromete los dispositivos IoT. El origen de este malware es China y está escrito en el lenguaje de programación Golang o Go.

Kaiji se puede prevenir reparando fallas de seguridad, usando IPS e IDS, usando criptografía liviana y robusta para IoT, utilizando CDN, etc.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Fuentes

1. El malware Kaiji genera un ‘ejército’ de dispositivos de Internet de las cosas después de obtener acceso de root , SC Media (Security Magazine UK)
2. Las variantes de malware XORDDoS y Kaiji Botnet se dirigen a servidores Docker expuestos , Trend Micro
3. ¿Qué es un ataque distribuido de denegación de servicio (DDoS) y qué se puede hacer al respecto? , Norton
4. Kaiji: una nueva variedad de malware de IoT que toma el control y lanza ataques DDoS , Bitdefender BOX
5. Nueva botnet Kaiji apunta a dispositivos IoT y Linux , publicación de amenazas
6. Kaiji Botnet apunta a servidores Linux, dispositivos IoT y seguridad de información bancaria
7. Servidores Docker infectados con malware DDoS: XORDDoS, variantes Kaiji , Cyware
8. ¿Qué es un ataque DDoS y cómo prevenirlo en ? Detectives de seguridad