Los ciberdelincuentes cada vez utilizan métodos más sofisticaos y que resultan más complejos de descubrir. Son más innovadores y silenciosos. Por tanto, sus ataques pueden no ser interceptados en un principio. Es lo que ha ocurrido recientemente cuando un grupo de atacantes han logrado infiltrarse a través de la actualización de un popular paquete de software de administración de servidores, NetSarang, y lo modificaron para crear una puerta trasera.
Puerta trasera en NetSarang
En total han pasado 17 días hasta que los investigadores de seguridad lo descubrieron. Esta puerta secreta ha sido apodada como ShadowPad y ha proporcionado a los atacantes un control completo sobre las redes ocultas detrás de este software. Hay que tener en cuenta que NetSarang es utilizado por cientos de bancos, compañías de energía, transporte, logística, etc.
Los investigadores creen que los ciberdelincuentes modificaron el software normal y le introdujeron un troyano que actuaba de puerta trasera. Otra teoría es que pudieron agregar la puerta trasera al propio código fuente y generaron nuevas compilaciones.
En cualquier caso, los atacantes reemplazaron los paquetes de software NetSarang con versiones modificadas en los servidores oficiales de descarga de la compañía.
Los atacantes del ransomware Petya / NotPetya que infectaron ordenadores de todo el mundo en junio usaron la misma táctica al comprometer el mecanismo de actualización para el proveedor de software financiero ucraniano MeDoc e intercambiaron una actualización maliciosa incluyendo NotPetya.
La puerta trasera secreta se encontraba en la biblioteca nssock2.dll dentro de las suites de software Xmanager y Xshell de NetSarang que se pusieron en funcionamiento en la página web de NetSarang el 18 de julio.
Sin embargo, los investigadores de Kaspersky Lab descubrieron la puerta trasera y lo informaron en privado a la compañía el 4 de agosto. NetSarang reaccionó inmediatamente eliminando la suite de software comprometida de su sitio web y reemplazándola por una versión anterior limpia.
Paquetes afectados
Estos son los paquetes de software de NetSarang afectados:
- Xmanager Enterprise 5.0 Build 1232
- Xmanager 5.0 Build 1045
- Xshell 5.0 Build 1322
- Xftp 5.0 Build 1218
- Xlpd 5.0 Build 1220
Los atacantes ocultaron el código de la puerta trasera ShadowPad en varias capas de código cifrado que se descifran sólo en los casos previstos.
La puerta trasera se conecta cada 8 horas a un servidor de comando y control con información básica sobre los ordenadores comprometidos. Estos datos incluyen sus nombres de dominio, detalles de red y nombres de usuario.
La activación de la puerta trasera fue desencadenada por un registro DNS TXTespecialmente diseñado para un nombre de dominio específico. El nombre de dominio se genera basado en el mes y año actuales y realiza una búsqueda de DNS en él.
Una vez activado, el servidor DNS de comando y control envía de vuelta la clave de descifrado. Posteriormente es descargada por el software para la siguiente etapa del código, activando así la puerta trasera.
Cuando está activada, la puerta trasera de ShadowPad un atacante puede descargar y ejecutar código arbitrario. Así puede crear procesos y mantener un sistema de archivos virtual (VFS) en el registro. Éste se cifra y almacena en ubicaciones únicas para cada víctima.
Fuente > The Hacker News
0 comentarios:
Publicar un comentario