ChamelDoH: Nova Backdoor do Linux Utilizando Túneis DNS-over-HTTPS para Controle e Comando Covertos
19 de Junho de 2023

O ator de ameaças conhecido como ChamelGang foi observado usando um implante não documentado anteriormente para backdoor em sistemas Linux, marcando uma nova expansão das capacidades do ator de ameaças.

O malware, apelidado de ChamelDoH pela Stairwell, é uma ferramenta baseada em C++ para comunicação via túnel DNS-over-HTTPS (DoH).

ChamelGang foi denunciado pela primeira vez pela empresa russa de cibersegurança Positive Technologies em setembro de 2021, detalhando seus ataques às indústrias de produção de combustível, energia e aviação na Rússia, EUA, Índia, Nepal, Taiwan e Japão.

As cadeias de ataques montadas pelo ator aproveitaram vulnerabilidades em servidores Microsoft Exchange e Red Hat JBoss Enterprise Application para obter acesso inicial e realizar ataques de roubo de dados usando um backdoor passivo chamado DoorMe.

"Este é um módulo IIS nativo que é registrado como um filtro através do qual as solicitações e respostas HTTP são processadas", disse a Positive Technologies na época.

"Seu princípio de operação é incomum: o backdoor processa apenas aquelas solicitações em que o parâmetro de cookie correto é definido."

Por sua vez, o backdoor Linux descoberto pela Stairwell é projetado para capturar informações do sistema e é capaz de operações de acesso remoto, como upload, download, exclusão de arquivos e execução de comando shell.

O que torna o ChamelDoH único é seu novo método de comunicação usando DoH, que é usado para realizar a resolução do Sistema de Nomes de Domínio (DNS) via protocolo HTTPS, para enviar solicitações de DNS TXT para um servidor de nomes falso.

"Devido a esses provedores de DoH serem servidores DNS comumente utilizados [ou seja, Cloudflare e Google] para tráfego legítimo, eles não podem ser facilmente bloqueados em toda a empresa", disse o pesquisador da Stairwell, Daniel Mayer.

O uso de DoH para o controle de comando e controle (C2) também oferece benefícios adicionais para o ator de ameaças, uma vez que as solicitações não podem ser interceptadas por meio de um ataque de adversário no meio (AitM) devido ao uso do protocolo HTTPS.

Isso também significa que as soluções de segurança não podem identificar e proibir solicitações DoH maliciosas e interromper as comunicações, tornando-o um canal criptografado entre um host comprometido e o servidor C2.

"O resultado dessa tática é semelhante ao C2 por meio de fronting de domínio, onde o tráfego é enviado para um serviço legítimo hospedado em um CDN, mas redirecionado para um servidor C2 por meio do cabeçalho Host da solicitação - tanto a detecção quanto a prevenção são difíceis", explicou Mayer.

A empresa de cibersegurança com sede na Califórnia disse ter detectado um total de 10 amostras de ChamelDoH no VirusTotal, uma das quais foi enviada em 14 de dezembro de 2022.

As últimas descobertas mostram que "o grupo também dedicou considerável tempo e esforço para pesquisar e desenvolver um conjunto de ferramentas igualmente robusto para intrusões em Linux", disse Mayer.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...