La nueva botnet linux “B1txor20” utiliza el túnel DNS y explota la falla Log4J

Se ha observado una puerta trasera previamente no documentada dirigida a los sistemas Linux con el objetivo de acorralar las máquinas en una botnet y actuar como un conducto para descargar e instalar rootkits.

El equipo de seguridad de Netlab de Qihoo 360 lo llamó B1txor20 "basado en su propagación utilizando el nombre de archivo 'b1t', el algoritmo de cifrado XOR y la longitud de la clave del algoritmo RC4 de 20 bytes".

Observado por primera vez propagándose a través de la vulnerabilidad Log4j el 9 de febrero de 2022, el malware aprovecha una técnica llamada túnel DNS para construir canales de comunicación con servidores de comando y control (C2) mediante la codificación de datos en consultas y respuestas DNS.

botnet

B1txor20, aunque también tiene errores de alguna manera, actualmente admite la capacidad de obtener un shell, ejecutar comandos arbitrarios, instalar un rootkit, abrir un proxy SOCKS5 y funciones para cargar información confidencial en el servidor C2.

Una vez que una máquina se ve comprometida con éxito, el malware utiliza el túnel DNS para recuperar y ejecutar los comandos enviados por el servidor.

"El bot envía la información confidencial robada, los resultados de la ejecución de comandos y cualquier otra información que deba entregarse, después de ocultarla utilizando técnicas de codificación específicas, a C2 como una solicitud de DNS", elaboraron los investigadores.

"Después de recibir la solicitud, C2 envía la carga útil al lado del bot como respuesta a la solicitud de DNS. De esta manera, Bot y C2 logran la comunicación con la ayuda del protocolo DNS".

Se implementan un total de 15 comandos, el principal de los cuales es cargar información del sistema, ejecutar comandos arbitrarios del sistema, leer y escribir archivos, iniciar y detener servicios proxy y crear shells inversos.

Fuente: Thehackernews.com

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies