Cómo un bot malintencionado intenta evadir la detección transformándose


Dirigido a los sistemas Windows y Linux, el bot Necro Python cambia su código para evadir la detección de seguridad tradicional, dice Cisco Talos.

necro-python-cisco-talos.jpg

Imagen: Cisco Talos

Los ciberdelincuentes suelen utilizar bots automatizados para implementar infecciones de malware, tomar el control de equipos remotos y llevar a cabo otros ciberataques. Aunque un bot parece tener una inteligencia y flexibilidad limitadas, un bot sofisticado puede hacer mucho daño en nombre del atacante. A informe publicado el jueves por el proveedor de inteligencia de amenazas Cisco Talos analiza un bot que incluye la transformación de código como parte de su repertorio.

VER: Política de formación y sensibilización sobre seguridad (TechRepublic High quality)

Apodado Necro Python, este bot persigue computadoras que ejecutan Windows o Linux al explotar las vulnerabilidades de seguridad en el sistema operativo o una aplicación instalada.

Para llevar a cabo la infección inicial, Necro utiliza un descargador basado en Java. El malware se implementa a través de un intérprete de Python y un script malicioso junto con archivos ejecutables creados con el programa de la aplicación Python. pyinstaller.

Aunque Necro apareció por primera vez a principios de este año, la última versión revela una variedad de cambios y nuevos poderes. La actividad detectada por Talos muestra diferentes comunicaciones de comando y management (C2) y nuevos exploits para ayudar a que se propague. En particular, el bot aprovecha las vulnerabilidades en VMWare vSphere, SCO OpenServer y Vesta Command Panel, así como las fallas basadas en Windows SMB, ninguna de las cuales se vio en versiones anteriores del código.

Una de las capacidades más alarmantes descubiertas en la última versión de Necro es la transformación de código. Talos descubrió que el código del script puede transformarse en una forma diferente después de cada iteración. Esta habilidad convierte a Necro en un gusano polimórfico que puede propagarse abusando de un número creciente de interfaces basadas en internet y exploits SMB.

Más allá de la capacidad de transformación, Necro instala un rootkit en modo de usuario para ocultar sus archivos, procesos y entradas de registro maliciosos. El objetivo typical es hacer que el bot sea más difícil de detectar. Estas tácticas podrían ayudar a Necro a evadir la protección de seguridad básica y tradicional, pero Talos dijo que sería detectado por herramientas de detección más modernas, que incluyen Detección y respuesta extendidas productos.

VER: El proveedor de Apple Quanta recibe un ataque de ransomware de 50 millones de dólares de REvil (TechRepublic)

El bot tiene otro truco bajo la manga en forma de minería de Monero, un tipo popular de minería de criptomonedas. Para configurar esto, Necro instala una variante de xmrig, que es un programa de código abierto que united states of america la CPU de un sistema para la minería de Monero. El bot también inyecta código malicioso en HTML y archivos de script para agregar un minero basado en JavaScript y más formas de controlar y secuestrar información de diferentes navegadores. Si el usuario abre una aplicación infectada, el minero de JavaScript Monero se ejecuta a través del navegador.

Necro intenta específicamente explotar el software program del lado del servidor para propagarse por una pink. Al igual que otros bots como Mirai, Necro apunta a enrutadores pequeños y de oficinas domésticas. Pero usa Python para atacar diferentes sistemas operativos en lugar de descargar el código compilado para cada plataforma.

necro-python-function-cisco-talos.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/06/03/b43afe49-31d9-4bb0-ae96-02c7ad142353/resize /770x/a30cac8ada8d3e2f4361a50b7f9259a7/necro-python-functionality-cisco-talos.jpg

Descripción general de alto nivel del bot Necro y su funcionalidad.

Imagen: Cisco Talos

«El bot Necro Python muestra a un actor que sigue el último desarrollo en exploits de ejecución remota de comandos en varias aplicaciones world-wide-web e incluye los nuevos exploits en el bot», dijo Talos en su informe. «Esto aumenta sus posibilidades de propagar e infectar los sistemas. Los usuarios deben asegurarse de aplicar periódicamente las últimas actualizaciones de seguridad a todas las aplicaciones, no solo a los sistemas operativos».

Para ayudar a las organizaciones a protegerse contra bots maliciosos como Necro, la investigadora de amenazas de Cisco Talos, Vanja Svajcer, ofrece los siguientes consejos:

Aplicar los últimos parches de seguridad, especialmente en servidores.. La forma más importante de defenderse de bots y gusanos como Necro es instalar los últimos parches de seguridad para sus aplicaciones y sistemas operativos. Con Necro, las aplicaciones de destino son del lado del servidor, por lo que debe asegurarse de que sus servidores estén actualizados con los parches correctos.

Implementar una política de contraseñas segura. Necro tiene una lista de credenciales predeterminadas que utiliza para intentar autenticar el acceso a través de Cubierta segura. Por esa razón, las organizaciones deben establecer una política de contraseñas segura combinada con autenticación multifactor. Además, asegúrese de cambiar las credenciales predeterminadas en cualquier components o program conectado a World-wide-web.

Utilice herramientas sólidas de prevención y detección de endpoints. Confiar en un producto de protección de endpoints de buena reputación y mantenerlo correctamente configurado y actualizado puede ayudar a detener Necro y amenazas similares.

Ver también



Enlace a la noticia unique