ACBackdoor - Nou malware ce vizează utilizatorii de windows și linux
Ce este C2/ CnC/ C&C?
C&C sunt servere de comandă și/sau control prin care atacatorii își mențin comunicațiile între ei și sistemele informatice infectate. Adesea sunt folosite webservere care trimit comenzi către dispozitivele infectate, dar mai există și abordări creative: uneori atacatorii folosesc diferite servicii free pentru a distribui comenzile către terminalele infectate: conturi de gmail, pastebin, github etc.
ACBackdoor este un nou malware multi-platform ce permite atacatorilor să preia controlul sistemelor ce rulează Windows și Linux.
Ultima versiune de exploit, analizată pentru prima oară în septembrie 2019 de către @nao_sec (Link: https://nao-sec.org/2019/07/steady-evolution-of-fallout-v4.html) , urmărește vulnerabilitățiele CVE-2018-15982 (Flash Player) și CVE-2018-8174 (Microsoft Internet Explorer VBScript Engine).
Sistemele Linux sunt cele mai afectate de acest malware, rata de detecție fiind aproape nulă, VirusTotal fiind singurul motor de investigare anti-malware care l-a detectat.
Virusul prezinta capabilitați complexe pe distribuțiile de Linux: backdoor-urile sunt diversificate, iar procesele se creează automat, independent și se pot redenumi, fiind astfel foarte greu de detectat.
Pe Sistemele Windows, virusul a fost detectat de doar 37/70 de motoare anti-malware.
Versiunea ACBackdoor pentru Windows este stângace, are foarte multe erori și failuri => pare a fi portată de pe Linux, fiind gasite string-uri specifice Linux precum anumite path-uri și nume de procese kernel (informații obținute în urma studiului lui Ignacio Sanmillan, cercetător @Intezer).
Cum funcționează ACBackdoor?
Există multe asemănări între cele 2 variante (Linux și Windows), una dintre acestea fiind utilizarea aceluiași protocol (HTTPS) pentru comunicarea cu serverul de comanda (C&C), datele fiind transmise sub forma unui payload encodat base64.
În analiza fișierelor binare, experții au descoperit că fișierul pentru Linux este un “statically linked ELF file”, iar cel pentru Windows este un “dinamically linked PE file”.
Varianta Windows a malware-ului colectează date atât despre sistemul infectat cât și de pe toate celelalte sisteme din rețea.
Varianta Linux folosește o abordare mai complexă, extrăgând date despre arhitectură și sistem prin comenzi precum uname, în completare cu apelurile de sistem prin socket / ioctl.
Odată adunate aceste informații, ACBackdoor adaugă o intrare pe registru(Windows) sau creează linkuri simbolice și un script initrd (Linux) pentru a putea fi pornit automat la start-up. De asemenea, backdoor-ul va apărea ca fiind un proces MsMpEng.exe pe Windows, iar pe Linux se va ascunde ca fiind un utility numit Ubuntu Update Notifier și își va redenumi procesul sub numele unui thread kernel: [kworker/u8:7-ev].
Ce poate face ACBackdoor?
ACBackdoor poate trimite informații despre sistem, execută comenzi primite de la serverul C2, precum și să updateze malware-ul de pe sistemul infectat și să rămână nedetectat sau să infecteze terminalul cu alt virus (Rat, kelloger etc).
Situația în România
Prima apariție a acestui malware în România a fost, conform studiilor noastre, la începutul lunii noiembrie. În momentul de față, România nu pare să fie o țintă clară.
Cu toate acestea, recomandăm următoarele:
- Mențineți sistemele de operare și aplicațiile actualizate;
- Asigurați-vă ca antivirusul funcționează și este actualizat;
- Verificați, printr-un canal separat, legitimitatea oricăror atașamente de email nesolicitate – ștergeți fără deschidere dacă nu puteți valida;
- Blocați toate IoC-urile bazate pe URL și IP la nivel de firewall, IDS, gateway-uri web, routere sau alte dispozitive.
IoC - Indicatori de compromitere
- SHA-256
- 5d51dbf649d34cd6927efdb6ef082f27a6ccb25a92e892800c583a881bbf9415
- 907e1dfde652b17338d307b6a13a5af7a8f6ced93a7a71f7f65d40123b93f2b8
IPs- 185.198.56.53
- 193.29.15.147