Blackrota to nowy, niebezpieczny backdoor napisany w Golang, kt\u00f3ry bazuje na b\u0142\u0119dzie w Docker Remote API. Obfuscated malware stworzone w j\u0119zyku Go to naprawd\u0119 rzadko\u015b\u0107. Co wi\u0119cej, metoda zaciemniania wykorzystywana przez Blackrota stwarza nowe wyzwania dla analizy odwrotnej. Wi\u0119cej informacji na temat Blackrota oraz aktualnych zagro\u017ce\u0144 znajdziecie w naszym najnowszym Centrum Bezpiecze\u0144stwa.<\/p>\n\n\n\n\n\n\n\n
Blackrota to nowy backdoor napisany w j\u0119zyku programowania Go (Golang), kt\u00f3ry wyr\u00f3\u017cnia wyj\u0105tkowo wysoki poziom zaciemniania kodu. Cyberprzest\u0119pcy wykorzystuj\u0105 b\u0142\u0105d w Dockerze. A dok\u0142adnie, luk\u0119 w zabezpieczeniach Docker Remote API.<\/p>\n\n\n\n
Charakterystyka<\/strong><\/p>\n\n\n\n Z\u0142o\u015bliwe oprogramowanie otrzyma\u0142o nazw\u0119 po domenie serwer\u00f3w Command and Control (C&C) – blackrota.ga. Obecnie jest dost\u0119pne tylko dla systemu Linux, w formie plik\u00f3w Executable oraz Linkable Format (ELF). Wspierane s\u0105 obie architektury procesor\u00f3w – x86 i x86-64. Kolejna interesuj\u0105ca rzecz, malware wykorzystuje specyficzny rodzaj beacon do komunikacji z serwerem C2, prosz\u0105c o instrukcje lub eksfiltracj\u0119 zebranych danych.<\/p>\n\n\n\n Beacon odpowiada za implementuj\u0119 kluczowych funkcji backdoora Blackrota. Umo\u017cliwia m.in. wykonywanie polece\u0144 pow\u0142oki (CMD_SHELL), przesy\u0142anie plik\u00f3w (CMD_UPLOAD), pobieranie okre\u015blonych plik\u00f3w (CMDDOWNLOAD), przegl\u0105danie plik\u00f3w (CMD_FILE_BROWSE), ustawianie czasu op\u00f3\u017anienia u\u015bpienia (CMD_SLEEP) i zmienianie katalog\u00f3w (CMD_CD).<\/p>\n\n\n O malware Blackrota mo\u017cna \u015bmia\u0142o powiedzie\u0107, \u017ce wykorzystuje rozbudowane techniki anty-wykrywania. Nowe zagro\u017cenie jest wyj\u0105tkowo \u200btrudne do analizy oraz wykrycia. Po pierwsze, malware wykorzystuje gobfuscate – narz\u0119dzia open source – aby zaciemni\u0107 kod \u017ar\u00f3d\u0142owy przed jego kompilacj\u0105. W ten spos\u00f3b przest\u0119pcy ukrywaj\u0105 r\u00f3\u017cne elementy kodu \u017ar\u00f3d\u0142owego Go pod postaci\u0105 przypadkowo podstawionych znak\u00f3w – w tym nazwy pakiet\u00f3w i zmiennych globalnych, a tak\u017ce nazwy funkcji, typ\u00f3w oraz metod.<\/p>\n\n\n\n Gobfuscate zast\u0119puje r\u00f3wnie\u017c wszystkie ci\u0105gi, kodowaniem XOR. Szyfr XOR jest operacj\u0105 kryptograficzn\u0105, kt\u00f3ra por\u00f3wnuje dwa bity wej\u015bciowe i generuje jeden bit wyj\u015bciowy. W przypadku Blackrota do ka\u017cdego \u0142a\u0144cucha jest przypisana funkcja dekodowania XOR, kt\u00f3ra dynamicznie dekoduje ci\u0105gi znak\u00f3w podczas wykonywania programu.<\/p>\n\n\n\n Kolejn\u0105 przeszkod\u0105 dla analizy jest to, \u017ce sam j\u0119zyk Go u\u017cywa w pe\u0142ni statycznych link\u00f3w do tworzenia plik\u00f3w binarnych. Ca\u0142y kod bibliotek standardowych oraz tych dostarczanych przez tzw. 3rd parties<\/em> zosta\u0142 spakowany do postaci plik\u00f3w binarnych, co skutkuje bardzo du\u017cymi binariami.<\/p>\n\n\n\n J\u0119zyk Go w ostatnim czasie sta\u0142 si\u0119 popularny w\u015br\u00f3d przest\u0119pc\u00f3w. Pisali\u015bmy ju\u017c na ten temat kilkakrotnie \u2013 wi\u0119cej znajdziecie tutaj<\/a> i tutaj<\/a>. Czy Goland jednak pozostanie z nami na d\u0142u\u017cej? W tym momencie, jego \u201eniszowo\u015b\u0107\u201d dzia\u0142a na korzy\u015b\u0107 atakuj\u0105cych. Nieuchwytny malware \u2013 czego Blackrota jest dobrym przyk\u0142adem \u2013 kt\u00f3ry niepostrze\u017cenie wci\u0105ga warto\u015bciowe dane? Tak, bezpiecznie jest za\u0142o\u017cy\u0107 wzrost tego typu program\u00f3w w nadchodz\u0105cych miesi\u0105cach.<\/p>\n\n\n\nMaskowanie<\/strong><\/h5>\n\n\n