Una investigación sobre un compromiso de la infraestructura alojada por Amazon Web Services (AWS) ha descubierto un nuevo rootkit GNU/Linux llamado LinkPro, según los hallazgos de Synacktiv.
«La funcionalidad de esta puerta trasera se basa en la instalación de dos módulos eBPF (filtro de paquetes mejorado de Berkeley), uno para ocultarse y el otro para activarse de forma remota al recibir un ‘paquete mágico'», dijo el investigador de seguridad Theo Letaileur.
Según la firma francesa de ciberseguridad, la infección involucró a atacantes que explotaron un servidor Jenkins expuesto vulnerable a CVE-2024-23897 como punto de partida y luego implementaron una imagen maliciosa de Docker Hub llamada «kvlnt/vv» (ahora eliminada) en múltiples clústeres de Kubernetes.
La imagen de Docker consta de la base Kali Linux y una carpeta llamada «app» que contiene tres archivos.
start.sh, un script de shell que inicia el servicio SSH y ejecuta los dos enlaces de archivos restantes; un programa de código abierto llamado vnt que actúa como servidor VPN y proporciona funcionalidad de proxy al conectarse a vnt.wherewego(.)top:29872; una aplicación que permite a un atacante conectarse a un servidor comprometido desde cualquier lugar y utilizarlo como proxy para acceder a otros servidores; un descargador basado en Rust llamado vGet; S3 Recupera una carga útil VShell cifrada del depósito y se comunica con su propio servidor de comando y control (C2) (56.155.98(.)37) a través de una conexión WebSocket.
También se entregaron otras dos cepas de malware a los nodos de Kubernetes: un dropper que incorpora otra puerta trasera vShell y LinkPro, un rootkit escrito en Golang. Dependiendo de su configuración, el malware sigiloso puede operar en modo pasivo (también conocido como inverso) o activo (también conocido como avance), escuchando comandos del servidor C2 o iniciando una conexión directa con el servidor solo si recibe paquetes TCP específicos.
El modo directo admite cinco protocolos de comunicación diferentes, incluidos HTTP, WebSocket, UDP, TCP y DNS, mientras que el modo inverso utiliza sólo el protocolo HTTP. El orden general de los acontecimientos se desarrolla de la siguiente manera.
Instale el módulo eBPF «Ocultar». Esto incluye programas eBPF tipo Tracepoint y Kretprobe que ocultan procesos y actividad de red. Si la instalación del módulo «Ocultar» falla o está deshabilitada, instale la biblioteca compartida «libld.so» en /etc/ld.so.preload. Si desea utilizar el modo inverso, instale el módulo eBPF «Knock», que contiene dos programas eBPF para la ruta de datos eXpress. (XDP) y control de tráfico (TC) para garantizar que el canal de comunicación C2 solo se inicie al recibir un paquete mágico. Logre la persistencia configurando un servicio systemd. Ejecute comandos C2. En caso de interrupciones (señales SIGHUP, SIGINT y SIGTERM), desinstale el módulo eBPF, elimine el /etc/libld.so modificado y vuelva a la versión original.
Para lograr esto, LinkPro modifica el archivo de configuración «/etc/ld.so.preload» para especificar la ruta a la biblioteca compartida libld.so integrada en él, con el objetivo principal de ocultar varios artefactos que podrían revelar la presencia de una puerta trasera.
«Gracias a la presencia de la ruta /etc/libld.so en /etc/ld.so.preload, la biblioteca compartida libld.so instalada por LinkPro será cargada por cualquier programa que requiera /lib/ld-linux.so14», explicó Letailleur. «Esto incluye todos los programas que utilizan bibliotecas compartidas como glibc».
«Cuando se carga libld.so cuando se ejecuta un programa (como /usr/bin/ls), puede conectarse a algunas funciones de libc (antes de glibc) para modificar los resultados y potencialmente revelar la existencia de LinkPro».
Según Synacktiv, un paquete mágico es un paquete TCP con un valor de tamaño de ventana de 54321. Cuando se detecta este paquete, el módulo Knock almacena la dirección IP de origen del paquete y el tiempo de vencimiento de 1 hora asociado como sus valores. Luego, el programa monitorea paquetes TCP adicionales cuya dirección IP de origen coincida con una dirección IP ya almacenada.
En otras palabras, la funcionalidad principal de LinkPro es esperar a que se envíe un paquete mágico, después del cual un atacante puede enviar comandos al puerto de su elección en una hora. El módulo Knock también está diseñado para modificar el encabezado de los paquetes TCP entrantes para reemplazar el puerto de destino original con el puerto de escucha de LinkPro (2333) y para modificar los paquetes salientes para reemplazar el puerto de origen (2233) con el puerto original.
«El propósito de esta operación es permitir a los operadores activar la recepción de comandos LinkPro a través de cualquier puerto permitido por el firewall frontal», dijo Synacktiv. «Esto también hace que la correlación entre los registros del firewall frontal y la actividad de la red de un host comprometido sea más compleja».
Los comandos admitidos por LinkPro incluyen ejecutar /bin/bash en un pseudo terminal, ejecutar comandos de shell, enumerar archivos y directorios, realizar operaciones con archivos, descargar archivos y configurar túneles proxy SOCKS5. Actualmente se desconoce quién está detrás del ataque, pero se sospecha que los atacantes tenían motivaciones financieras.
«Para la ocultación a nivel de kernel, el rootkit utiliza programas eBPF de los tipos tracepoint y kretprobe para interceptar llamadas al sistema getdents (ocultar archivos) y sys_bpf (ocultar programas BPF propietarios). En particular, esta técnica requiere una configuración de kernel específica (CONFIG_BPF_KPROBE_OVERRIDE)», dijo la compañía.
«Si este último no está presente, LinkPro recurre a un método alternativo cargando una biblioteca maliciosa a través del archivo /etc/ld.so.preload, que oculta de manera confiable su actividad en el espacio de usuario».
Source link
