Se ha identificado una nueva amenaza multiplataforma denominada NKAbuse que utiliza la tecnología de NKN (New Kind of Network) o un protocolo de red peer-to-peer (P2P), para el intercambio de datos entre pares, funcionando como un potente implante de malware equipado con capacidades de inundación y puerta trasera, su principal objetivo es comprometer sistemas MISP, ARM e IoT a través de la tecnología blockchain para realizar ataques de denegación de servicio distribuido (DDoS) y funcionar como un implante dentro de los sistemas comprometidos. Por el momento existen víctimas de este malware en Colombia, México y Vietnam.
De acuerdo a la investigación de Kaspersky (GERT) y GReAT, el nuevo implante de malware funciona como un protocolo de red peer-to-peer (P2P) orientado a la red de cadena de bloques pública o blockchain que prioriza la descentralización y la privacidad. La red de cadena de bloques NKN cuenta actualmente con más de 60.000 nodos oficiales hasta la fecha, estos nodos buscan optimizar la ruta más corta para la llegada a su destino final, lo que optimiza la transmisión de datos.
Ilustración 1: Diagrama de enrutamiento de datos NKN
Fuente: Securelist
Protocolo NKN
NKN (New Kind of Network) es un protocolo de conectividad de red entre pares y un ecosistema de blockchain que busca proporcionar una Internet abierta y descentralizada. Funciona como un protocolo de código abierto para redes públicas de pares (peer-to-peer) basadas en blockchain, permitiendo compartir el ancho de banda de red. NKN presenta el Sistema de comunicación universal (UCS), una iniciativa basada en su protocolo para servir como capa TCP/IP en la red. La infraestructura de red de NKN se asocia con China Mobile para la computación perimetral y con iQIYI para el sistema de entrega de contenido.
Características de NKAbuse
Vector de Ataque
Para la distribución del implante de NKAbuse, los actores de amenaza utilizan una antigua vulnerabilidad del Apache Struts2 rastreada con el CVE-2017-5638 que afecta al analizador Jakarta Multipart en Apache Struts, al poseer un manejo incorrecto de excepciones y generación de mensajes de error durante los intentos de carga de archivos, lo que permite a los atacantes remotos ejecutar comandos arbitrarios a través de un encabezado HTTP Content-Type, Content-Disposal o Content-Length.
Actualmente existen varias pruebas de conceptos (PoC) para la explotación de la vulnerabilidad anteriormente mencionada, lo puedes observar a través de los siguientes enlaces:
Nota: Si desea hacer pruebas con los PoC mencionados anteriormente, se sugiere hacerlo en ambientes controlados y bajo su propia responsabilidad.
Una vez que se ejecuta el exploit, el malware se instala en el dispositivo de la víctima mediante la ejecución de un script de shell remoto setup[.]sh que es implantado por el actor de amenaza de manera remota.
La función del malware a partir de ese punto es comprobar las configuraciones del sistema operativo de la víctima para descargar la segunda etapa que corresponde al implante de malware real que se instala en el directorio temporal /tmp y luego se ejecuta. De acuerdo a los investigadores el implante afecta a las siguientes arquitecturas de software y otros sistemas como:
Posterior a la ejecución de la segunda etapa, el malware comprueba si es la única instancia en ejecución y se mueve a un lugar seguro en lugar de permanecer en el directorio volátil /tmp. El directorio elegido por el implante para residir es /root/[.]config/StoreService/. Otro conjunto de directorios creados dentro de esa ruta de destino son files y cache.
A continuación, el implante recupera la dirección IP de la máquina infectada enviando una solicitud GET a ifconfig[.]me, carga la configuración predeterminada, que comprueba si se encuentra dentro del directorio .cache y, si no es así, carga ciertos ajustes codificados en una nueva estructura de caché, que contiene otras configuraciones importantes que se utilizan repetidamente, como la clave privada generada.
Para mantener la persistencia NKAbuse, utiliza los trabajos cron para sobrevivir a los reinicios. Para lograrlo, debe ubicarse en la raíz del sistema, para lo cual comprueba que el ID de usuario actual es 0 y, si es así, procede a analizar el crontab actual, agregándose a sí mismo para cada reinicio.
Para establecer la comunicación con el C&C, el malware utiliza el protocolo NKN para establecer la conexión con el bot master quien envía y recibir información, para lograr ésto el malware crea una nueva cuenta y un nuevo multicliente a través de las opciones de configuración predeterminadas, lo que le permite enviar y recibir datos de múltiples clientes al mismo tiempo, aumentando la fiabilidad de sus comunicaciones con el bot master.
Apreciación
Ciertamente las redes entre pares o Peer to Peer utilizada por la tecnología blockchain buscan servir como capa TCP/IP en la red de nodos descentralizados proporcionando muchas ventajas a nivel de seguridad. Sin embargo, también proporciona ciertas desventajas a nivel de ciberseguridad, por cuanto cada vez es más común el uso de esta red de nodos descentralizados por parte de actores de amenaza para llevar a cabo sus operaciones, como es el caso del malware NKAbuse que utiliza justamente la red de nodos descentralizados del protocolo NKN para la comunicación con su comando y control debido al anonimato que este protocolo ofrece. Por lo tanto, es de esperarse que más actores de amenazas sigan haciendo uso de este tipo de ecosistemas descentralizados para sus operaciones y ataques distribuidos, por lo que se debe seguir reforzando las políticas de seguridad y medidas mitigatorias que reduzcan la superficie de ataque.
El listado de las CVE se adjunta a continuación:
Tipo | Indicador |
---|---|
hash | 2f2fda8895e69ceabeb1cf566b... |
Renuncia de Responsabilidad:
Utilice esta información bajo su propia responsabilidad! El Centro de Ciberinteligencia de Entel no se hace responsable por el uso indebido o pruebas de conceptos no controladas por parte del lector.