El libre pensamiento para un internet libre
No estas registrado.
- Temas: Activo | Sin respuesta
Anuncio
#1 11-02-2015 13:12:57
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 5,701
Linux.BackDoor.Xnote.1 : ¿Eres la presa de ChinaZ?
La empresa rusa de seguridad informática llamada "doctor web" publicó estos días un aviso sobre una puerta trasera parecida a un "malware" diseñado para infectar los sistemas basados en linux (routeurs, servidores, computadoras etc...)
Se trata de "Linux.BackDoor.Xnote.1" que se extiende a otras maquinas por ataques "brute force" sobre servicio SSL.
Su principal característica es permitir el uso del sistema afectado para fomentar ataques DDoSS (denegaciones de servicios sincronizadas y masivas). No es la única cosa que puede hacer Linux.BackDoor.Xnote.1: además de poder efectuar otras operaciones en el sistema comprometido se incrusta en los ficheros esenciales de nuestro SO y intenta pasar desaparecido.
Su modo de operación es eficaz y permite más o menos hacer "cualquier cosa", más allá de unos "simples" DDoSS.
Sobrescribe el fichero iptablev6 que se enceuntra en /bin/ (para poner se ahí)
Luego contamina cualquier script que pueda encontrar en /etc/init.d/ para añadir un liña lo que hace que se lanza a cada inicio.
Se comunica con el servidor de los "hackers" con paquetes comprimidos con zlib
En un primer tiempo se mandan informaciones sobre el sistema y luego el malware se pone en espera de instrucciones. En cuanto reciba una petición desde el servidor nuestra "linuxbackdor" iniciara un nuevo proceso con su propia conexión al servidor para efectuar la acción requerida...
Es versatíl y capaz de moverse en el sistema o desaparecer con además todas las funcionalidades de nuestro commandos para borrar-editar-mover archivos (o sea el sistema ).
Y se puede usar para varios tipos de ataques por hundimiento :
Thus, when commanded to do so, Linux.BackDoor.Xnote.1 can assign a unique ID to an infected machine, start a DDoS attack on a remote host with a specific address (it can mount SYN Flood, UDP Flood, HTTP Flood and NTP Amplification attacks), stop an attack, update its executable, write data to a file, or remove itself. The backdoor can also perform a number of actions with files. Having received the appropriate command, Linux.BackDoor.Xnote.1 sends information about the file system of the infected computer (the total number of data blocks in the file system and the number of free blocks) to the server and stands by for other directives which can include:
List files and directories inside the specified directory.
Send directory size data to the server.
Create a file in which received data can be stored.
Accept a file.
Send a file to the command and control (C&C) server.
Delete a file.
Delete a directory.
Signal the server that it is ready to accept a file.
Create a directory.
Rename a file.
Run a file.
In addition, the backdoor can run a shell with the specified environment variables and grant the C&C server access to the shell, start a SOCKS proxy on an infected computer, or start its own implementation of the portmap server.
En su aviso el equipo de doctor web apunta claramente al grupo ChinaZ:
Doctor Web security researchers believe that the Chinese hacker group ChinaZ may be behind this backdoor.
Parecen estar inspirados por el famoso "shel shock", del cual hablaremos en otro tema, en todos casos habían hecho hablar de ellos hace poco:
The bash Shellshock vulnerability (link) is still proven to be one of the fastest way to spread ELF malware infection to NIX boxes in internet, along with Linux systems which are still having the vulnerable version. This fact that is not knowing only by internet security folks, but by the threat actors themself. Since firstly reported in this blog (link), bash shellshock vulnerabilty exploitation is utilized for more sophisticated ELF malware infection scheme, like Linux/Mayhem malware shellshock distribution (link) or Linux/Xor.DDoS infection scheme (link), and some more in our tweet posts. Now some ELF malware actors in PRC/People Respublic of China are starting to build and use a set of tools to make more ELF infection "merrier" via shellshock exploitation, and they called it as "ChinaZ".
The threat was detected (ITW) on January 13th, 2015, was developed somewhere around November, 2014. And this post is describing how it works with describing threat's details for detection and mitigation.
Siempre es la falta de la CIA, de corea del norte o de los chinos... yo no creo nada hasta que lo vea 
Así que miramos un poco mas esto :
Andre M. DiMino ha examinado un poco lo que hace esta backdor.
Al ejecutarse contacta un servidor DNS en la dirección 114.114.114.114 en búsqueda de tres dominios :
a.et2046.com
b.et2046.com
c.et2046.com
Cada una de las peticiones ha provocado una respuesta con IP 122.10.85.54
A continuación podemos ver en la salida de volatility el process de xnote con PID 1303
Volatility Foundation Volatility Framework 2.4
Pid Start End Flags Pgoff Major Minor Inode Path
1303 0xc01000 0xc02000 r-x 0x0 8 1 405848 /home/mattyh/xnote
1303 0x8048000 0x81ba000 r-x 0x0 0 0 0
1303 0x81ba000 0x81c4000 rwx 0x0 0 0 0
1303 0xa137000 0xa158000 rwx 0x0 0 0 0 [heap]
1303 0xb78b6000 0xb78b7000 r-x 0x0 0 0 0 [vdso]
1303 0xbf843000 0xbf859000 rwx 0x0 0 0 0 [stack]Un dump de los datos mandados permite ver claramente los dominios y IP
XXXXXXXXXXXXXXXX122.10.85.54
a.et2046.com
b.et2046.com
c.et2046.com
e.et2046.com
test
CAk[S
!"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~
.,-+xX0123456789abcdef0123456789ABCDEF-+xX0123456789abcdefABCDEF
-0123456789 Nunca sabremos con certeza de que va este enigmatico "ChinaZ" pero si podemos entender lo que lleva el equipo de doctor web a sospechar este grupo.
Podemos relacionar el dominio et2046.com con otros malware ELF
tema del foro ubuntu sobre una maquina infectada dónde los process hacen peticones hacia los subdominios 'kill.et2046.com' y 'sb.et2046.com'
PaloNetwork hablan de estos subdominios y de los riesgos de infección
la primera IP DNS usada (114.114.144.114) es la de un servidor chino ("114dns" : www.114dns.com)
Por lo que es de la la segunda (122.10.85.54) :
'whois' for Domain et2046.com
Domain Name: ET2046.COM
Registry Domain ID: 1762221508_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Update Date: 2014-08-25T06:58:17Z
Creation Date: 2012-11-27T14:02:55Z
Registrar Registration Expiration Date: 2016-11-27T14:02:55Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone: +1.480-624-2505
Registry Registrant ID:
Registrant Name: smaina smaina
Registrant Organization:
Registrant Street: Beijing
Registrant City: Beijing
Registrant State/Province: Beijing
Registrant Postal Code: 100080
Registrant Country: China
Registrant Phone: +86.18622222222
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: tuhao550@gmail.comNo se yo... pero un tal "samaina samaina" con numero de telefono "186222222222" y mail "tuhao550" me parece igual que cuando me identifique para mi gmail como Pepita Flores de 75 años domiciliada en burknia faso.
Usando la cuenta de usuario no tenemos problemas, es más algo que tienen que mirar profesionales y administradores de redes.
Podemos siempre echar un ojo a nuestros scipts de inicio por si vemos algo extraño.
Con
ps -A | grep xnotepodemos ver en un instante si xnote esta actuando.
Desconectado
Anuncio
Temas similares
| Tema | Respuestas | Vistas | Ultimo mensaje |
|---|---|---|---|
|
|
26 | 7597 | 15-03-2023 16:57:32 por kcdtv |
|
Pegado: |
34 | 3711 | 12-03-2023 18:24:22 por Guybrush92 |
|
Pegado: |
436 | 63222 | 07-03-2023 12:35:27 por kcdtv |
| 0 | 389 | 23-02-2023 17:09:39 por kcdtv | |
| 114 | 258209 | 19-02-2023 17:36:14 por chuchof |
Información del usuario
Ultimo usuario registrado: trdmexico
Usuarios registrados conectados: 0
Invitados conectados: 25
Estadisticas de los foros
Número total de usuarios registrados: 2,431
Número total de temas: 1,632
Número total de mensajes: 15,528
Atom tema feed - Impulsado por FluxBB
© 2014-2022 Wifi-libre.com - [ Generated in 0.026 seconds ]