Malware NKAbuse explota el ecosistema blockchain de NKN para sus operaciones

Se ha identificado una nueva amenaza multiplataforma denominada NKAbuse que utiliza la tecnología de NKN (New Kind of Network) o un protocolo de red peer-to-peer (P2P), para el intercambio de datos entre pares, funcionando como un potente implante de malware equipado con capacidades de inundación y puerta trasera, su principal objetivo es comprometer sistemas MISP, ARM e IoT a través de la tecnología blockchain para realizar ataques de denegación de servicio distribuido (DDoS) y funcionar como un implante dentro de los sistemas comprometidos. Por el momento existen víctimas de este malware  en Colombia, México y Vietnam.
 

De acuerdo a la investigación de Kaspersky (GERT) y GReAT,  el nuevo implante de malware funciona como un protocolo de red peer-to-peer (P2P) orientado a la red de cadena de bloques pública o blockchain que prioriza la descentralización y la privacidad. La red de cadena de bloques NKN cuenta actualmente con más de 60.000 nodos oficiales hasta la fecha, estos nodos buscan  optimizar la ruta más corta para la llegada a su destino final, lo que optimiza la transmisión de datos.  

Ilustración 1: Diagrama de enrutamiento de datos NKN
Fuente: Securelist

Protocolo NKN 

NKN (New Kind of Network) es un protocolo de conectividad de red entre pares y un ecosistema de blockchain que busca proporcionar una Internet abierta y descentralizada. Funciona como un protocolo de código abierto para redes públicas de pares (peer-to-peer) basadas en blockchain, permitiendo compartir el ancho de banda de red. NKN presenta el Sistema de comunicación universal (UCS), una iniciativa basada en su protocolo para servir como capa TCP/IP en la red. La infraestructura de red de NKN se asocia con China Mobile para la computación perimetral y con iQIYI para el sistema de entrega de contenido. 

Características de NKAbuse 

• Tiene capacidades de backdoor o como troyano de acceso remoto (RAT).
• Puede ser usado por los actores de amenaza para  ataques distribuidos DDoS.
• El implante de malware establece una estructura llamada "Heartbeat", que habla con el bot maestro a intervalos regulares. 
• Contiene otras estructuras que almacenan información sobre el host infectado: el PID, la dirección IP de la víctima, la memoria libre, la configuración actual, el sistema operativo, etc.
• Tiene capacidad de realizar capturas de pantalla de la máquina infectada.
• Puede crear archivos con contenido específico, eliminar archivos del sistema de archivos y obtener una lista de archivos de una ruta específica.
• Puede obtener una lista de los procesos que se ejecutan en el sistema e incluso una lista detallada de las interfaces de red disponibles.
• Otra característica común que convierte a este implante en una puerta trasera, es la capacidad de ejecutar comandos del sistema. Estos se ejecutan en nombre del usuario actual, y la salida se envía a través de NKN al botmaster.

Vector de Ataque 

Para la distribución del implante de NKAbuse, los actores de amenaza utilizan una antigua vulnerabilidad del Apache Struts2 rastreada con el CVE-2017-5638 que afecta al analizador Jakarta Multipart en Apache Struts, al poseer un manejo incorrecto de excepciones y generación de mensajes de error durante los intentos de carga de archivos, lo que permite a los atacantes remotos ejecutar comandos arbitrarios a través de un encabezado HTTP Content-Type, Content-Disposal o Content-Length. 

Actualmente existen varias pruebas de conceptos (PoC) para la explotación de la vulnerabilidad anteriormente mencionada, lo puedes observar a través de los siguientes enlaces:

• https://github.com/xsscx/cve-2017-5638/blob/master/cve-2017-5638.py
• https://github.com/vulhub/vulhub/blob/master/struts2/s2-048/README.md 

Nota: Si desea hacer pruebas con los PoC mencionados anteriormente, se sugiere hacerlo en ambientes controlados y bajo su propia responsabilidad.

Una vez que se ejecuta el exploit, el malware se instala en el dispositivo de la víctima mediante la ejecución de un script de shell remoto setup[.]sh que es implantado por el actor de amenaza de manera remota.

La función del malware a partir de ese punto es comprobar las configuraciones del sistema operativo de la víctima para descargar la segunda etapa que corresponde al implante de malware real que se instala en el directorio temporal /tmp y luego se ejecuta. De acuerdo a los investigadores el implante afecta a las siguientes arquitecturas de software y otros sistemas como: 

• 386
• arm64
• arm
• amd64
• mips
• mipsel
• mips64
• mips64e

Posterior a la ejecución de la segunda etapa, el malware comprueba si es la única instancia en ejecución y se mueve a un lugar seguro en lugar de permanecer en el directorio volátil /tmp. El directorio elegido por el implante para residir es /root/[.]config/StoreService/. Otro conjunto de directorios creados dentro de esa ruta de destino son files y cache.

A continuación, el implante recupera la dirección IP de la máquina infectada enviando una solicitud GET a ifconfig[.]me, carga la configuración predeterminada, que comprueba si se encuentra dentro del directorio .cache y, si no es así, carga ciertos ajustes codificados en una nueva estructura de caché, que contiene otras configuraciones importantes que se utilizan repetidamente, como la clave privada generada.

Para mantener la persistencia NKAbuse, utiliza los trabajos cron para sobrevivir a los reinicios. Para lograrlo, debe ubicarse en la raíz del sistema, para lo cual comprueba que el ID de usuario actual es 0 y, si es así, procede a analizar el crontab actual, agregándose a sí mismo para cada reinicio.

Para establecer la comunicación con el C&C, el malware utiliza el protocolo NKN para establecer la conexión con el bot master quien envía y recibir información, para lograr ésto el malware crea una nueva cuenta y un nuevo multicliente a través de las opciones de configuración predeterminadas, lo que le permite enviar y recibir datos de múltiples clientes al mismo tiempo, aumentando la fiabilidad de sus comunicaciones con el bot master.

Apreciación

Ciertamente las redes entre pares o Peer to Peer utilizada por la  tecnología blockchain buscan servir como capa TCP/IP en la red de nodos descentralizados proporcionando muchas ventajas a nivel de seguridad. Sin embargo, también proporciona ciertas desventajas a nivel de ciberseguridad, por cuanto cada vez es  más común el uso de esta red de nodos descentralizados por parte de actores de amenaza para llevar a cabo sus operaciones, como es el caso del malware NKAbuse que utiliza justamente la red de nodos descentralizados del protocolo NKN para la comunicación con su comando y control debido al anonimato que este protocolo ofrece. Por lo tanto, es de esperarse que más actores de amenazas sigan haciendo uso de este tipo de ecosistemas descentralizados para sus operaciones y ataques distribuidos, por lo que se debe seguir reforzando las políticas de seguridad y medidas mitigatorias que reduzcan la superficie de ataque.

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes.doc.scr).
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos