Pesquisadores alertam sobre um novo worm que está infectando servidores Linux por força bruta e roubando credenciais SSH. Os servidores sequestrados são unidos em uma botnet e são usados para minerar criptomoedas carregando programas de mineração diretamente na memória sem arquivos no disco. Assim, esse novo botnet peer-to-peer Panchan sequestra servidores Linux e usa técnicas de força bruta para conseguir êxito.
Apelidado de Panchan por pesquisadores da Akamai, o malware é escrito na linguagem de programação Go. Isso permite que seja independente de plataforma. Ele apareceu pela primeira vez no final de março e infectou servidores em todas as regiões do mundo desde então. Porém, a Ásia parece ter uma concentração maior deste tipo de ataque. O setor que sofreu maior impacto foi o da educação.
Isso pode ser devido à falta de cuidado da senha ou pode estar relacionado à capacidade exclusiva de movimento lateral do malware com chaves SSH roubadas”, disse a equipe da Akamai em um post no blog. Pesquisadores em diferentes instituições acadêmicas podem colaborar com mais frequência e exigir credenciais para se autenticar em máquinas que estão fora de sua organização/rede, do que funcionários do setor empresarial. Para fortalecer essa hipótese, vimos que algumas das universidades envolvidas eram do mesmo país – Espanha, ou outros da mesma região, como Taiwan e Hong Kong.
Infecções SSH e comunicações ponto a ponto
O malware tem recursos de worm, o que significa que ele pode pular automaticamente de máquina para máquina. Ele consegue isso de duas maneiras: lançando um ataque de força bruta baseado em dicionário contra serviços de acesso remoto SSH para tentar adivinhar combinações de nome de usuário/senha e roubando chaves SSH autorizadas que já existem em máquinas infectadas.
“O malware procura no diretório HOME do usuário em execução a configuração e as chaves do ssh”, disseram os pesquisadores. “Ele lê a chave privada em ~HOME/.ssh/id_rsa e a usa para tentar autenticar em qualquer endereço IP encontrado em ~HOME/.ssh/known_hosts. Este é um novo método de coleta de credenciais que não vimos usado em outros malwares .”
Uma vez que obtém acesso a uma nova máquina, o malware cria uma pasta com um nome aleatório no diretório raiz e se copia dentro com o nome de arquivo xinetd. O malware é então executado junto com uma lista de pares. Isso estabelece um canal de comunicação entre diferentes máquinas infectadas, permitindo que elas transmitam comandos e configurações umas às outras. O canal de comunicação usa a porta TCP 1919 que o malware abre no firewall usando os comandos iptables.
Um recurso interessante, provavelmente influenciado por sua topologia de comando e controle ponto a ponto, é que o binário malicioso tem um painel de comando embutido, ao contrário de tal painel ser hospedado em um servidor de comando e controle. O acesso remoto a este painel pode ser feito enviando o comando “godmode” para o malware e, em seguida, fornecendo a chave privada correta para autenticação.
O painel de administração tem três opções principais: atualizar a tela de status, exibir a lista de peers e atualizar a configuração do cryptominer. O painel exibe texto em japonês, sugerindo que os criadores do malware são falantes de japonês.
Botnet peer-to-peer Panchan sequestra servidores Linux. Cryptomining é o propósito da botnet
O principal objetivo da botnet neste momento parece ser a criptomineração, embora isso possa ser expandido posteriormente. O malware implanta os mineradores xmrig e nbhash, mas o faz usando a função memfd_create para criar arquivos mapeados e executados diretamente na memória sem gravá-los no disco. Isso provavelmente se destina a evitar a detecção, pois tanto o xmrig quanto o nbhash são programas de criptomineração bem conhecidos para os quais a maioria dos programas de segurança emitirá alertas.
Isso é ainda apoiado pelo fato de que o malware possui um módulo antimonitoramento chamado antitaskmanager que procura continuamente os processos top e htop e encerra os processos de mineração se os vir. Top e htop são utilitários do Linux usados para monitorar processos ativos e seu uso de recursos.
O malware também possui um mecanismo anti-kill que captura os sinais de terminação SIGTERM e SIGINT do Linux e para seu próprio processo e os ignora. No entanto, os pesquisadores apontam que isso não impede o SIGKILL, que pode ser usado para matar seu processo.
Os pesquisadores da Akamai criaram um repositório com indicadores de comprometimento para esse malware, bem como assinaturas de detecção YARA e Snort. Eles também recomendam que as organizações definam senhas SSH fortes, usem soluções de autenticação multifator, segmentem suas redes, permitam conexões SSH apenas de hosts conhecidos e monitorem suas VMs quanto a atividades de recursos incomuns, pois o malware de criptografia gerará alto consumo de recursos.