Linux Malware

Malware-ul Krasue RAT ascuns pe servere Linux

Cercetătorii de securitate au descoperit un troian de acces de la distanță pe care l-au numit Krasue, care vizează sistemele Linux ale companiilor de telecomunicații și care a reușit să rămână nedetectat din 2021.

Aceștia au descoperit că binarul lui Krasue include șapte variante ale unui rootkit care suportă mai multe versiuni ale nucleului Linux și este bazat pe codul a trei proiecte open source.

Potrivit cercetătorilor de la compania de securitate cibernetică Group-IB, principala funcție a malware-ului este de a menține accesul la gazdă, ceea ce poate sugera că acesta este implementat prin intermediul unui sistem botnet sau vândut de către intermediari cu acces inițial către actori care caută acces la o anumita țintă.

Cercetătorii consideră că troianul de acces la distanță (RAT) Krasue poate fi implementat într-o etapă ulterioară a atacului, special pentru a menține accesul la gazda victimei.

Nu este clar modul în care este distribuit malware-ul, dar ar putea fi livrat după exploatarea unei vulnerabilități, în urma unui atac prin forță brută a acreditărilor sau chiar descărcat dintr-o sursă nesigură, sub forma unui pachet sau a unui fișier binar care pretinde a fi un produs legitim.

Krasue pare să vizeze doar companiile de telecomunicații din Thailanda.

Krasue - Profilul agentului de amenințare

Rootkit-ul din interior

Analiza efectuată de Group-IB a dezvăluit că rootkit-ul din interiorul binarului Krasue RAT este un Linux Kernel Module (LKM) care, după ce este executat, se preface într-un driver VMware nesemnat.

Rootkit-urile la nivel de nucleu sunt dificil de detectat și de eliminat, deoarece funcționează la același nivel de securitate ca și sistemul de operare.

Rootkit-ul este compatibil cu versiunile nucleului Linux 2.6x/3.10.x, ceea ce îi permite să rămână sub radar, deoarece serverele Linux mai vechi au de obicei o acoperire slabă a sistemului Endpoint Detection and Response, spune cercetătorii.

Group-IB a constatat că toate cele șapte versiuni de rootkit încorporate prezintă aceleași capacități de agățare a apelurilor de sistem și a apelurilor de funcție și folosesc același nume fale „VMware User Mode Helper”.

Rootkit's metadata

Analizând codul, cercetătorii au stabilit că rootkit-ul este bazat pe trei rootkit-uri LKM open source, mai exact Diamorphine, Suterusu și Rooty, toate disponibile cel puțin din 2017.

Kitul rootkit Krasue poate să ascundă sau să dezvăluie porturi, să facă procesele invizibile, să ofere privilegii de root și să execute comanda kill pentru orice ID de process. De asemenea, își poate acoperi urmele prin ascunderea fișierelor și directoarelor legate de malware.

Atunci când comunică cu serverul de comandă și control (C2), Krasue poate accepta următoarele comenzi:

  • ping – Răspunde cu „pong”.
  • master – Stabilește master upstream C2.
  • info – Obține informații despre malware: pid principal, pid secundar și starea acestuia, cum ar fi „root: a obținut permisiuni de root”, „god: procesul nu poate fi oprit”, „hidden: procesul este ascuns”, „module: rootkit este încărcat”.
  • restart – Repornește procesul secundar.
  • respawn – Repornește procesul principal.
  • god die – Se opreșțe singur.

Adresă IP de RTSP în malware

Group-IB a descoperit nouă adrese IP C2 distincte codificate în malware, una dintre ele folosind portul 554, care este comun în conexiunile RTSP (Real Time Streaming Protocol).

Utilizarea protocolului de rețea la nivel de aplicație RTPS pentru comunicarea cu malware C2 nu este frecventă și ar putea fi considerată o particularitate în cazul lui Krasue.

RTSP este un protocol de control al rețelei conceput pentru serverele de streaming media, care ajută la stabilirea și controlul sesiunilor de redare media pentru fluxuri video și audio, navigare media gestionarea fluxurilor de conferințe și multe altele.

Deși originea malware-ului Krasue este necunoscută, cercetătorii au descoperit în partea de rootkit unele suprapuneri cu rootkit-ul unui alt malware pentru Linux numit XorDdos.

Group-IB crede că acest lucru indică faptul că cele două familii de malware au un autor/operator comun. De asemenea, este posibil ca dezvoltatorul lui Krasue să fi avut acces la codul XorDdos.

În acest moment, nivelul de amenințare din spatele lui Krause este încă un mister, dar compania de securitate cibernetică a împărtășit indicatorii de compromitere și regulile YARA pentru a ajuta companiile să detecteze această amenințare și poate să încurajeze alți cercetători să publice ceea ce știu despre acest malware.

ThinkRoot99

Numele meu este Cristian Moldovan și sunt utilizator de Linux de peste 10 ani.Am făcut parte din mai multe echipe open source din România: Fundația Ceata, Linux Mint România, Rogentos Linux Group. Între 2014 și 2018 am fost propietarul și editorul site-ului de știri despre linux, gnulinux.ro și actual proprietar al rootlinux.ro

View all posts by ThinkRoot99 →

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *