Home Criptomonedas Red de bots utiliza la cadena de bloques para ocultar la información...

Red de bots utiliza la cadena de bloques para ocultar la información de control y de copia de seguridad

El operador de una conocida red de bots utilizada para la minería de criptomonedas ha comenzado a utilizar una técnica relativamente rara para mantener la persistencia que, si se adopta más ampliamente, podría hacer que los desmantelamientos de redes de bots sean mucho más difíciles de lograr.

Los investigadores de Akamai han observado recientemente el uso de esta técnica en los intentos de infección dirigidos a los clientes de su equipo de respuesta de inteligencia de seguridad. En un nuevo informe, la empresa describe la táctica como el uso de la cadena de bloques de Bitcoin para ocultar la información de configuración relativa a la infraestructura secundaria de mando y control (C2) de la red de bots. La naturaleza descentralizada de la cadena de bloques hace que la infraestructura de la red de bots sea más fiable y más difícil de piratear, dice Akamai.

“El objetivo principal es poder recuperarse de las acciones ofensivas emprendidas contra la red de bots”, afirma el investigador de Akamai Evyatar Saias. Los operadores quieren asegurarse de que si los dominios son incautados o las direcciones IP son anuladas, tienen un método fuera de banda para comunicar información que apunte a los sistemas infectados a nuevos servidores C2, dice. “Aprovechan el blockchain para hacerlo porque está descentralizado y no será desmontado”, dice Saias.

El malware de la red de bots de minería de criptomonedas que Akamai observó utilizando la nueva técnica está asociado a una campaña llamada “Skidmap” que se dirige a máquinas Linux, de la que Trend Micro informó por primera vez en septiembre de 2019. El malware aprovecha las vulnerabilidades de ejecución remota de código conocidas públicamente en tecnologías como Hadoop YARN y Elasticsearch.

Una vez instalado en un sistema vulnerable, utiliza “cron job”, una utilidad para ejecutar tareas en un horario específico, para comprobar con sus servidores C2 y seguir reinfectando los sistemas comprometidos con la última versión del malware. Para garantizar la resistencia frente a los intentos de desmantelamiento, los operadores de la red de bots -al igual que sus compañeros- han establecido un mecanismo con el que los sistemas infectados descargan automáticamente una nueva versión del malware que está configurada para utilizar nuevos dominios e infraestructuras si el principal es derribado.

En diciembre de 2020, los investigadores de Akamai observaron una nueva versión del malware de la red de bots que llevaba el mecanismo de persistencia a un nivel superior. Akamai descubrió que el malware incluía una dirección de monedero de Bitcoin, una URL de una API para obtener datos del monedero y varias líneas crípticas en el lenguaje de programación Bash. El análisis de la compañía de las nuevas adiciones mostró que los datos que la API obtenía del monedero de Bitcoin se utilizaban para calcular una dirección IP que el malware puede utilizar para persistir y reinfectarse si la infraestructura C2 principal se ve afectada.

“Están ocultando las direcciones IP en los valores de las transacciones de Bitcoin”, dice Saias. Como analogía de cómo funciona el sistema, señala una situación en la que un individuo podría querer ofuscar el número de teléfono al que quiere que otra persona le llame. “Digamos que quiero que me llames, pero quiero que sea difícil para otros saber a qué número de teléfono quiero que me llames”, dice. “Podríamos negociar un sistema que diga que cuando quiera que me llames, te haré cinco pequeños depósitos, todos ellos de menos de un dólar, en tu cuenta corriente”.

Los importes de los depósitos se asignarían al número de teléfono que hay que marcar. Por ejemplo, si los importes de los cinco depósitos fueran de 0,55, 0,51, 0,23, 0,45 y 0,67 dólares, respectivamente, el número de teléfono que habría que marcar sería el 555-123-4567, dice. Si ese número de teléfono se desconectara, lo único que tendría que hacer la otra persona para encontrar el nuevo número es mirar su cuenta corriente después de hacer más pequeños depósitos.

La principal diferencia entre el enfoque de la cadena de bloques y otros enfoques es que normalmente hay una autoridad central que supervisa el almacenamiento y la difusión de la información C2. Como las cadenas de bloques están descentralizadas por diseño, son resistentes a los intentos centralizados de censurar o eliminar datos, dice Saias. Así, mientras que un bot de mando y control en una plataforma de medios sociales, por ejemplo, podría ser fácil de cerrar, un monedero que opera en una cadena de bloques es considerablemente más difícil de neutralizar.