Blackrota Golang Backdoor Pack Heavy Blurring Punch - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Blackrota Golang Backdoor Pack Heavy Blurring Punch

Hola, ¿qué tal colega?. Te escribe Eduardo Arroyo y en el día de hoy hablaremos sobre Blackrota Golang Backdoor Pack Heavy Blurring Punch

Blackrota Golang Backdoor Pack Heavy Blurring Punch

Blackrota apunta a un error de seguridad en Docker, pero es casi imposible hacer un análisis inverso.

Los investigadores descubrieron una nueva puerta trasera escrita en el lenguaje de programación Go (Golang), que les dio la vuelta debido a su alto nivel de ofuscación.

La puerta trasera, llamada Blackrota, se descubrió por primera vez en un honeypot propiedad de una investigación en un intento de explotar una vulnerabilidad de acceso no autorizado en la API de Docker Remote. Lo que distingue a la puerta trasera es el uso de extensas técnicas anti-detección, que hacen que el malware sea extremadamente difícil de escanear, algo que los investigadores dijeron que no se ve comúnmente con el malware basado en Golang.

«Históricamente, hemos visto malware escrito en Go que, en el mejor de los casos, se eliminaba en el momento de la compilación y, en el peor de los casos, se ocultaba ligeramente, sin mucha dificultad en el análisis inverso», dijeron los investigadores de 360 ​​Netlab. en un mensaje el martes. «Blackrota introduce un nuevo enfoque para la ofuscación y es el malware más ofuscado escrito por Go en formato ELF que hemos encontrado hasta la fecha».

Los investigadores nombraron al malware Blackrota, debido a su nombre de dominio de comando y control (C2) (blackrota.ga). Threatpost se puso en contacto con 360 Netlab para obtener más información sobre la vulnerabilidad específica a la que se dirigía.

La puerta trasera de Blackrota actualmente solo está disponible para Linux, en formato de archivo ELF (formato ejecutable y enlazable) y es compatible con arquitecturas de CPU x86 / x86-64, dijeron los investigadores. ELF es un formato de archivo estándar común para archivos ejecutables. Tras una mayor investigación, los investigadores encontraron que Blackrota está configurado de acuerdo con lo que llamaron «geacon».

Este es un tipo de baliza que utiliza el malware para comunicarse con un servidor C2, solicitar instrucciones o filtrar los datos recopilados. Esta baliza en particular se implementa en el lenguaje Go y se usaba anteriormente a través de CobaltStrike, una herramienta básica de simulación de ataques utilizada por los atacantes para difundir malware y controlar los hosts comprometidos.

Esta baliza implementa varias funciones clave para la puerta trasera de Blackrota, lo que le permite ejecutar comandos de shell (CMD_SHELL), cargar archivos (CMD_UPLOAD), descargar archivos especificados (CMDDOWNLOAD), examinar archivos (CMD_FILE_BROWSE), establecer un tiempo de retardo de suspensión (CMD_SLEEP) y modificar directorio (CMD_CD).

Cuando se trata de ofuscación, varias tácticas hacen que Blackrota sea difícil de analizar y detectar. Por un lado, el malware utiliza fusionar, una herramienta de código Go de código abierto, para ocultar el código fuente antes de la compilación. Oculta varios elementos del código fuente de Go con sustituciones de caracteres aleatorias, incluidos nombres de paquetes, nombres de variables globales, nombres de funciones, nombres de tipos y nombres de métodos.

«Con miles de funciones con nombres de cadenas aleatorios y una gran cantidad de tipos de datos, métodos y variables globales con nombres aleatorios, no pudimos estar seguros de qué paquetes Go de terceros se usaron en la muestra, lo que hace que sea casi imposible l «El análisis inverso avanza», dijeron los investigadores.

Gobfuscate también reemplaza todas las cadenas utilizadas en el código con codificaciones XOR (el código XOR es una operación lógica criptográfica que compara dos bits de entrada y genera un bit de salida). En este caso, a cada cadena se le asigna una función de decodificación XOR que decodifica dinámicamente las cadenas mientras se ejecuta el programa.

«Blackrota usa gobfuscate para ofuscar información simbólica y de tipos, que es la ‘puerta a la vida’ de tales herramientas de análisis inverso», dijeron los investigadores. “La información simbólica que analizan y recuperan se vuelve ilegible y no es posible dar sentido a la información simbólica y de tipos, y no es posible saber qué paquetes de terceros se importaron al proyecto. Esto hace que el proceso de análisis inverso sea mucho más difícil. «

Otro obstáculo para el análisis es que el lenguaje Go utiliza enlaces completamente estáticos para crear archivos binarios, lo que significa que todo el código utilizado en bibliotecas estándar y de terceros se comprime en archivos binarios, lo que da como resultado archivos binarios grandes.

«Esta característica, desde el punto de vista del análisis inverso, significa que cuando abres un binario Go en una herramienta de desmontaje, verás miles o incluso decenas de miles de funciones», dijeron los investigadores. «Si estas funciones no tienen símbolos coincidentes, será difícil realizar el análisis inverso de los archivos binarios de Go».

Los investigadores dijeron que el malware oculto escrito en Go es raro, pero ya se ha visto antes. La cepa de ransomware llamada EKANS, que es una variante de ransomware escrita en Golang, se descubrió anteriormente utilizando el mismo método de ofuscación que Blackrota, por ejemplo. Los investigadores han advertido que estos nuevos tipos de malware crearán un dolor de cabeza para los defensores de la seguridad en lo que respecta al análisis y la detección.

«El método de ofuscación de Blackrota y EKANS crea nuevos desafíos para el análisis inverso», dijeron los investigadores. «A medida que el lenguaje Go se vuelva más popular, se escribirá más y más malware en Go en el futuro … estaremos atentos a lo que sucede».

.

No te olvides compartir en tu Facebook para que tus amigos lo flipen

??? ? ? ???

Comparte