Hackers chineses usam DNS-over-HTTPS para comunicação de malware Linux
15 de Junho de 2023

O grupo de ameaça chinês "ChamelGang" infecta dispositivos Linux com um implante previamente desconhecido chamado "ChamelDoH", permitindo comunicações DNS-over-HTTPS com servidores de atacantes.

A ameaça em questão foi documentada pela primeira vez em setembro de 2021 pela Positive Technologies; no entanto, os pesquisadores só se concentraram na ferramenta do Windows.

Um relatório publicado ontem pela Stairwell e compartilhado com o BleepingComputer descreve um novo implante Linux escrito em C ++ que expande o arsenal de intrusão do ator de ameaças e, por extensão, os indicadores de comprometimento dos atacantes.

A ligação entre ChamelGang e o novo malware Linux é baseada em um domínio anteriormente associado ao ator de ameaças e uma ferramenta de elevação de privilégios personalizada observada pela Positive Technologies em campanhas anteriores do ChamelGang.

O protocolo DNS (sistema de nomes de domínio) é usado por software e sistemas operacionais para resolver nomes de host legíveis por humanos em endereços IP, que são então usados para fazer conexões de rede.

No entanto, as consultas DNS são enviadas como texto simples não criptografado, permitindo que organizações, ISPs e outros monitorem as solicitações DNS.

Como isso é considerado um risco de privacidade e permite que governos censurem a Internet, um novo protocolo DNS chamado DNS-over-HTTPS foi criado para criptografar as consultas DNS para que elas não possam ser espionadas.

No entanto, isso é uma faca de dois gumes, já que malware pode usá-lo como um canal de comunicação criptografado eficaz, tornando mais difícil para software de segurança monitorar as comunicações de rede maliciosas.

No caso do ChamelDoH, o DNS-over-HTTPS fornece comunicação criptografada entre um dispositivo infectado e o servidor de comando e controle, tornando as consultas maliciosas indistinguíveis do tráfego HTTPS regular.

Além disso, o DoH pode ajudar a ignorar os servidores DNS locais usando servidores compatíveis com DoH fornecidos por organizações respeitáveis, o que não foi visto neste caso.

Finalmente, porque as solicitações DNS usam servidores legítimos DoH do Google e Cloudflare, bloqueá-los é praticamente impossível sem afetar o tráfego legítimo.

O ChamelDoH usa duas chaves armazenadas em sua configuração JSON, "ns_record" e "doh", para obter nomes de host C2 e uma lista de provedores de nuvem DoH legítimos que podem ser abusados ​​para realizar consultas DoH.

Todas as comunicações do malware são criptografadas usando AES128 e uma codificação base64 modificada que contém substitutos para caracteres não alfanuméricos.

Os dados transmitidos são então adicionados como nomes de host aos servidores de comando e controle de malware listados.

Essa modificação permite que o malware emita solicitações TXT para domínios contendo as comunicações de servidor de comando e controle (C2) codificadas, obscurecendo a natureza dessas solicitações e reduzindo a probabilidade de ser detectado.

Por exemplo, ao consultar o registro TXT, uma consulta DoH do malware usaria <dados_codificados> ns2 spezialsec.

O servidor de nome malicioso que recebe a consulta então extrairia e descriptografaria a parte codificada para receber os dados exfiltrados do dispositivo infectado.

O C2 responderia com um registro TXT codificado contendo os comandos que o malware deve executar no dispositivo infectado.

Após a execução, o malware coletará dados básicos sobre o host, incluindo o nome, endereço IP, arquitetura de CPU e versão do sistema, e gerará um ID exclusivo.

Os pesquisadores da Stairwell descobriram que o ChamelDoH suporta os seguintes comandos que seus operadores podem emitir remotamente via registros TXT recebidos em solicitações DNS-over-HTTPS: A análise da Stairwell mostrou que o ChamelDoH foi enviado ao VirusTotal em dezembro de 2022.

No momento em que este texto foi escrito, não foi sinalizado como malicioso por nenhum dos motores AV da plataforma.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...