Securitate IT: Cercetatorii ESET au oferit informatii din ampla investigatie asupra familiei malware Linux/Moose

Share This

Ce este un Moose – Introducere

Linux/Moose este o familie de malware, care adreseaza in primul rand routerele utilizatorilor bazate pe Linux, dar care poate infecta, de asemenea, alte sisteme integrate bazate pe Linux. Dispozitivele compromise sunt folosite pentru a fura traficul de retea necriptat si ofera servicii proxy operatorului de botnet. In practica, aceste capacitati sunt folosite pentru a fura cookie-uri HTTP de pe site-urile populare de social media si de a efectua actiuni frauduloase, cum ar fi “follow-uri”, “puncte de vedere” si “aprecieri” non-legitime.

In mai 2015 ESET a lansat un raport asupra familiei malware pe care am numit-o Linux/Moose. Dupa publicare, servere de comanda si control Linux/Moose s-au inchis si am pierdut urma codului malware. Cateva luni mai tarziu, in septembrie 2015, am primit un nou esantion de Linux/Moose – care dupa cum ne asteptam suferise o evolutie din momentul publicarii raportului.

Pentru anul trecut, ESET si firma de securitate GoSecure si-au unit abilitatile, cu scopul de a cerceta Linux/Moose in continuare. GoSecure a investigat aspectele fraudei in social media pentru a releva o piata necunoscuta numita “The Ego Market”. Aceasta piata este evidentiata intr-un nou raport publicat de GoSecure. Acest articol va acoperi modificarile tehnice dintre variantele Moose pe care le-am descris in raportul nsotru si noile variante care au aparut in septembrie 2015.

Primul lucru pe care am observat cand am primit noul esantion a fost ca nu mai exista o adresa IP de comanda si control (C & C) in interiorul codului binar. Se pare ca operatorii au citit raportul nostru cu atentie si au decis sa faca lucrurile un pic mai grele pentru noi. In aceasta noua versiune adresa IP de C & C este data ca argument in linia de comanda criptat, asa cum se arata in urmatoarea iesire:

Aceasta noua caracteristica implica faptul ca nu se mai poate rula esantionul de catre noi insine; masinile noastre trebuie sa fie compromise de catre o alta secventa de cod integrata ce raspandeste amenintare necontrolat pentru a recupera adresa IP de C&C. Cititorul atent va observa ca adresa IP afisata este in format intreg pe 32 de biti.

Scopul criptarii adresei IP de aici, in cazul in care codul binar este gasit singur, ramane inutil fara valoarea transmisa ca argument. De asemenea, valoarea singura nu are niciun sens fara codul binar acesta avand valoarea corecta pentru a decripta argumentul.

Schimbarea Moose-ului – Comunicare in retea

Protocolul de retea a fost modificat, dar a pastrat baza protocolului sau si a adaugat noi straturi. Mai jos este o privire rapida asupra a doua capturi de ecran de la ambele esantioane. Dupa cum arata lucrurile principala schimbare adusa aici este la protocolul binar ASCII printabil.

In vechea proba analizata configuratia a fost trimisa de catre serverul C & C pentru malware si continea diverse domenii, cum ar fi campul de biti pentru a determina ce caracteristici sa activeze, campurile de adresa IP, campul whitelist si campul parola. Aceste campuri sunt inca prezente in noua versiune, dar separate in trei chei (a se vedea tabelul 1). Operatorul foloseste Cookie: si Set-Cookie: HTTP headers pentru a trimite aceste campuri de configurare. Aceasta configurare este criptata printr-o simpla bucla XOR ca in prima varianta, dar este, de asemenea, codificata pentru a putea fi imprimata in antetele HTTP.

Cheia de PHPSESSID contine valoarea criptata a campurilor de biti, care permit activarea sau dezactivarea anumitor functii in Moose (scanare externa/locala, sniffer, procesul de inchidere). Cheia LP contine lista de parole. Linux/Moose inca incearca sa se raspandeasca prin fortarea datelor de autentificare a Telnet. A existat o mare schimbare in aceasta lista, de la aproximativ 300 de utilizatori si parole in 2015, fata de aproximativ 10 in 2016.

Cheia WL contine lista whitelist. Din nou, lista a fost scurtata de la 50 la 10 adrese IP. Aceste adrese IP sunt in sectiunea IoC. Linux/Moose are in continuare capacitatea de a rula un serviciu proxy prin interceptarea portul TCP 20012. Varianta anterioara obisnuia sa intercepteze portul 10073. Caracteristica proxy permite adreselor IP din whitelist sa interactioneze cu malware-ul.

Autorii codului malware Linux/Moose au muncit din greu pentru a nu fi descoperiti prin ascunderea locatiei mai eficienta a serverului de C & C si schimbarea protocolului de retea. Facand acest lucru, Moose evita indicatorii de compromis (IoCs) lansati in raportul ESET din 2015. Scurtarea whitelistului si a listei de parole este o abordare mult mai delicata pentru Moose. Cu toate acestea, unele urme care induc in eroare sunt plasate in interiorul codului binar, cum ar fi domeniu fals www.challpok.cn gasit in clartext in lista de string-uri de caractere sau chiar nume de fisiere care pot corespunde pentru bitcoinminer sau malware-ului DDoS. Linux/Moose este in mod exclusiv o amenintare la nivelul memoriei-rezidente; repornirea dispozitivului incorporat se va solda cu executia acestuia.