Serviços Redis vulneráveis têm sido alvo de uma variante "nova, melhorada, perigosa" de um malware chamado SkidMap, que é projetado para atingir uma ampla gama de distribuições Linux.
"A natureza maliciosa deste malware é se adaptar ao sistema no qual é executado", disse o pesquisador de segurança da Trustwave, Radoslaw Zdonczyk, em uma análise publicada na semana passada.
Algumas das distribuições Linux que o SkidMap tem em seus olhos incluem Alibaba, Anolis, openEuler, EulerOS, Stream, CentOS, RedHat e Rocky.
O SkidMap foi revelado pela primeira vez pela Trend Micro em setembro de 2019 como botnet de mineração de criptomoedas com capacidade de carregar módulos de kernel maliciosos que podem ofuscar suas atividades e monitorar o processo de mineração.
Os operadores do malware também foram encontrados disfarçando o endereço de IP de backup de comando e controle (C2) na blockchain do Bitcoin, lembrando outro malware botnet conhecido como Glupteba.
"A técnica de buscar dados em tempo real de uma fonte de dados descentralizada e, essencialmente, inimputável para gerar um endereço IP C2 torna a infecção difícil de ser eliminada e facilita a mudança do endereço IP C2 de forma simples e rápida", observou a Akamai em fevereiro de 2021.
O último ataque documentado pela Trustwave envolve violar instâncias mal protegidas do servidor Redis para implantar um script de shell dropper projetado para distribuir um binário ELF que se disfarça como um arquivo de imagem GIF.
O binário em seguida procede para adicionar chaves SSH ao arquivo "/root/.ssh/authorized_keys", desabilita o SELinux, estabelece um shell reverso que faz ping em um servidor controlado pelo ator a cada 60 minutos e, por último, baixa um pacote apropriado (nomeado gold, stream ou euler) com base na distribuição Linux e no kernel utilizados.
O pacote, por sua vez, vem com vários scripts de shell para instalar os módulos do kernel e toma medidas para encobrir os rastros ao purgar logs, e lança um componente botnet capaz de baixar payloads adicionais de rootkit: mcpuinfo, para ocultar o processo de mineração, e kmeminfo, para analisar, modificar ou descartar pacotes de rede.
Também é baixado o próprio binário do minerador, embora em algumas variantes, um "minerador integrado de um arquivo binário 'GIF' extraído" seja usado.
"O nível de avanço desse malware é realmente alto e detectá-lo, especialmente em infraestruturas de servidor maiores, pode ser muito difícil", disse Zdonczyk.
"Ao testá-lo em computadores domésticos, o único indicador grave de que algo estava errado era a operação excessiva de ventoinhas e, no caso de laptops, a temperatura do gabinete."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...