Een nieuwe multi-platformdreiging genaamd NKAbus Er is ontdekt dat het gebruik maakt van een gedecentraliseerd, peer-to-peer netwerkconnectiviteitsprotocol dat bekend staat als NKN (afkorting van New Kind of Network) als communicatiekanaal.
“De malware maakt gebruik van NKN-technologie voor gegevensuitwisseling tussen collega’s, functioneert als een krachtig implantaat en is uitgerust met zowel flooder- als backdoor-mogelijkheden”, zei het Russische cyberbeveiligingsbedrijf Kaspersky in een rapport van donderdag.
NKN, dat meer dan 62.000 knooppunten heeft, wordt beschreven als een “software-overlay-netwerk gebouwd bovenop het huidige internet waarmee gebruikers ongebruikte bandbreedte kunnen delen en tokenbeloningen kunnen verdienen.” Het bevat een blockchain-laag bovenop de bestaande TCP/IP-stack.
Hoewel het bekend is dat bedreigingsactoren profiteren van opkomende communicatieprotocollen voor command-and-control (C2)-doeleinden en detectie ontwijken, maakt NKAbuse gebruik van blockchain-technologie om gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren en te functioneren als een implantaat in gecompromitteerde systemen. .
Concreet gebruikt het het protocol om met de botmaster te praten en opdrachten te ontvangen/verzenden. De malware is geïmplementeerd in de programmeertaal Go en er zijn aanwijzingen dat deze voornamelijk wordt gebruikt om Linux-systemen, waaronder IoT-apparaten, te onderscheiden.
Het is momenteel niet bekend hoe wijdverspreid de aanvallen zijn, maar één door Kaspersky geïdentificeerd geval betreft de exploitatie van een zes jaar oud kritiek beveiligingslek in Apache Struts (CVE-2017-5638, CVSS-score: 10,0) om een niet bij naam genoemd financieel bedrijf binnen te dringen. .
Succesvolle exploitatie wordt gevolgd door de levering van een initieel shellscript dat verantwoordelijk is voor het downloaden van het implantaat van een externe server, maar niet voordat het besturingssysteem van de doelhost is gecontroleerd. De server die de malware host, bevat acht verschillende versies van NKAbuse ter ondersteuning van verschillende CPU-architecturen: i386, arm64, arm, amd64, mips, mipsel, mips64 en mips64el.
Een ander opvallend aspect is het ontbreken van een mechanisme voor zelfverspreiding, wat betekent dat de malware via een ander initieel toegangspad bij een doelwit moet worden afgeleverd, bijvoorbeeld door misbruik te maken van beveiligingsfouten.
“NKAbuse maakt gebruik van cronjobs om reboots te overleven”, aldus Kaspersky. “Om dat te bereiken, moet het root zijn. Het controleert of het huidige gebruikers-ID 0 is en als dat zo is, gaat het verder met het parseren van de huidige crontab, waarbij het zichzelf toevoegt voor elke herstart.”
NKAbuse bevat ook een groot aantal backdoor-functies waarmee het periodiek een hartslagbericht naar de botmaster kan sturen, dat informatie over het systeem bevat, schermafbeeldingen van het huidige scherm kan maken, bestandsbewerkingen kan uitvoeren en systeemopdrachten kan uitvoeren.
“Dit specifieke implantaat lijkt zorgvuldig te zijn vervaardigd voor integratie in een botnet, maar kan zich toch aanpassen om als achterdeur in een specifieke host te functioneren”, aldus Kaspersky. “Bovendien garandeert het gebruik van blockchain-technologie zowel betrouwbaarheid als anonimiteit, wat aangeeft dat dit botnet in de loop van de tijd gestaag kan uitbreiden, schijnbaar zonder een identificeerbare centrale controller.”
