Linux.BackDoor.Xnote.1 : ¿Eres la presa de ChinaZ? (Pagina 1) / Seguridad y Hacking / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 11-02-2015 13:12:57

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,056

Linux.BackDoor.Xnote.1 : ¿Eres la presa de ChinaZ?

drweb.jpg

  La empresa rusa de seguridad informática llamada "doctor web" publicó estos días un aviso sobre una puerta trasera parecida a un "malware" diseñado para infectar los sistemas basados en linux (routeurs, servidores, computadoras etc...)



  Se trata de "Linux.BackDoor.Xnote.1" que se extiende  a otras maquinas por ataques "brute force" sobre servicio SSL. 
Su principal característica es permitir el uso del sistema afectado para fomentar ataques DDoSS (denegaciones de servicios sincronizadas y masivas). No es la única cosa que puede hacer Linux.BackDoor.Xnote.1: además de poder efectuar otras operaciones en el sistema comprometido se incrusta en los ficheros esenciales de nuestro SO y intenta pasar desaparecido.
Su modo de operación es eficaz y permite más o menos hacer "cualquier cosa", más allá de unos "simples" DDoSS.
Sobrescribe el fichero iptablev6 que se enceuntra en /bin/ (para poner se ahí)   
Luego contamina cualquier script que pueda encontrar en /etc/init.d/ para añadir un liña lo que hace que se lanza a cada inicio.
  Se comunica con el servidor de los "hackers" con paquetes comprimidos con zlib 
 
En un primer tiempo se mandan informaciones sobre el sistema y luego el malware se pone en espera de instrucciones. En cuanto reciba una petición desde el servidor  nuestra "linuxbackdor" iniciara un nuevo proceso con su propia conexión al servidor para efectuar la acción requerida... 
  Es versatíl y capaz de moverse en el sistema o desaparecer con además todas las funcionalidades de nuestro commandos para borrar-editar-mover archivos (o sea el sistema ).
  Y se puede usar para varios tipos de ataques por hundimiento :

Thus, when commanded to do so, Linux.BackDoor.Xnote.1 can assign a unique ID to an infected machine, start a DDoS attack on a remote host with a specific address (it can mount SYN Flood, UDP Flood, HTTP Flood and NTP Amplification attacks), stop an attack, update its executable, write data to a file, or remove itself. The backdoor can also perform a number of actions with files. Having received the appropriate command, Linux.BackDoor.Xnote.1 sends information about the file system of the infected computer (the total number of data blocks in the file system and the number of free blocks) to the server and stands by for other directives which can include:

List files and directories inside the specified directory.
Send directory size data to the server.
Create a file in which received data can be stored.
Accept a file.
Send a file to the command and control (C&C) server.
Delete a file.
Delete a directory.
Signal the server that it is ready to accept a file.
Create a directory.
Rename a file.
Run a file.
In addition, the backdoor can run a shell with the specified environment variables and grant the C&C server access to the shell, start a SOCKS proxy on an infected computer, or start its own implementation of the portmap server.


  En su aviso el equipo de doctor web apunta claramente al grupo ChinaZ:

Doctor Web security researchers believe that the Chinese hacker group ChinaZ may be behind this backdoor.

 
  Parecen estar inspirados por el famoso "shel shock", del cual hablaremos en otro tema, en todos casos habían hecho hablar de ellos hace poco:

The bash Shellshock vulnerability (link) is still proven to be one of the fastest way to spread ELF malware infection to NIX boxes in internet, along with Linux systems which are still having the vulnerable version. This fact that is not knowing only by internet security folks, but by the threat actors themself. Since firstly reported in this blog (link), bash shellshock vulnerabilty exploitation is utilized for more sophisticated ELF malware infection scheme, like Linux/Mayhem malware shellshock distribution (link) or Linux/Xor.DDoS infection scheme (link), and some more in our tweet posts. Now some ELF malware actors in PRC/People Respublic of China are starting to build and use a set of tools to make more ELF infection "merrier" via shellshock exploitation, and they called it as "ChinaZ".

The threat was detected (ITW) on January 13th, 2015, was developed somewhere around November, 2014. And this post is describing how it works with describing threat's details for detection and mitigation.

  Siempre es la falta de la CIA, de corea del norte  o de los chinos... yo no creo nada hasta que lo vea big_smile

  Así que miramos un poco mas esto :

Andre M. DiMino ha examinado un poco lo que hace esta backdor.
Al ejecutarse contacta un servidor DNS en la dirección 114.114.114.114 en búsqueda de tres dominios :

  1. a.et2046.com

  2. b.et2046.com

  3. c.et2046.com

Cada una de las peticiones ha provocado una respuesta con IP 122.10.85.54

   A continuación podemos ver en la salida de volatility el process de xnote con PID 1303

Volatility Foundation Volatility Framework 2.4
Pid  Start      End        Flags Pgoff    Major Minor Inode  Path              
1303   0xc01000   0xc02000 r-x        0x0     8     1 405848 /home/mattyh/xnote
1303  0x8048000  0x81ba000 r-x        0x0     0     0      0                   
1303  0x81ba000  0x81c4000 rwx        0x0     0     0      0                   
1303  0xa137000  0xa158000 rwx        0x0     0     0      0 [heap]            
1303 0xb78b6000 0xb78b7000 r-x        0x0     0     0      0 [vdso]            
1303 0xbf843000 0xbf859000 rwx        0x0     0     0      0 [stack]

  Un dump de los datos mandados permite ver claramente los dominios y IP

XXXXXXXXXXXXXXXX122.10.85.54
a.et2046.com
b.et2046.com
c.et2046.com
e.et2046.com
test
CAk[S
 !"#$%&'()*+,-./0123456789:;<=>[email protected][\]^_`abcdefghijklmnopqrstuvwxyz{|}~
.,-+xX0123456789abcdef0123456789ABCDEF-+xX0123456789abcdefABCDEF
-0123456789

  Nunca sabremos con certeza de que va este enigmatico "ChinaZ" pero si podemos entender lo que lleva el equipo de doctor web a sospechar este grupo.
Podemos relacionar el dominio et2046.com  con otros malware ELF

  la primera IP DNS usada (114.114.144.114) es la de un servidor chino ("114dns" : www.114dns.com)
  Por lo que es de la la segunda (122.10.85.54) :

'whois' for Domain et2046.com
Domain Name: ET2046.COM
Registry Domain ID: 1762221508_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Update Date: 2014-08-25T06:58:17Z
Creation Date: 2012-11-27T14:02:55Z
Registrar Registration Expiration Date: 2016-11-27T14:02:55Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +1.480-624-2505

Registry Registrant ID: 
Registrant Name: smaina smaina
Registrant Organization: 
Registrant Street: Beijing
Registrant City: Beijing
Registrant State/Province: Beijing
Registrant Postal Code: 100080
Registrant Country: China
Registrant Phone: +86.18622222222
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: [email protected]

  No se yo... pero un tal "samaina samaina" con numero de telefono "186222222222" y mail "tuhao550"  me parece igual que cuando me identifique para mi gmail como Pepita Flores de 75 años domiciliada en burknia faso.

  Usando la cuenta de usuario no tenemos problemas, es más algo que tienen que mirar profesionales y administradores de redes.
Podemos siempre echar un ojo a nuestros scipts de inicio por si vemos algo extraño.
Con

ps -A | grep xnote

podemos ver en un instante si xnote esta actuando.

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Temas similares

Tema Respuestas Vistas Ultimo mensaje
Belgrano Windalo por Patcher
2 34 Hoy 05:39:22 por Fisgon
9 80 Hoy 00:45:10 por dynyly
11 176 Hoy 00:44:17 por Patcher
Hola! por Ike
3 33 Ayer 22:36:24 por Flashed
0 14 Ayer 19:25:20 por kcdtv

Pie de página

Información del usuario

Ultimo usuario registrado: Ike
Usuarios registrados conectados: 0
Invitados conectados: 4

Estadisticas de los foros

Número total de usuarios registrados: 356
Número total de temas: 618
Número total de mensajes: 4,234

Máx. usuarios conectados: 45 el 12-04-2016 12:02:20