Ciberseguridad 360 | Malware NKAbuse aprovecha la tecnología Blockchain para ataques DDoS

Se ha descubierto una nueva amenaza multiplataforma denominada NKAbuse que utiliza como canal de comunicaci�n un protocolo descentralizado de conectividad de red entre pares conocido como NKN (abreviatura de New Kind of Network).

"El malware utiliza la tecnolog�a NKN para el intercambio de datos entre pares, funciona como un potente implante y est� equipado con capacidades tanto de flooder como de backdoor", afirm� la empresa rusa de ciberseguridad Kaspersky en un informe publicado el jueves.

NKN, que cuenta con m�s de 62.000 nodos, se describe como una "red superpuesta de software construida sobre la Internet actual que permite a los usuarios compartir el ancho de banda no utilizado y ganar recompensas en tokens". Incorpora una capa blockchain sobre la pila TCP/IP existente.

Mientras que los actores de amenazas son conocidos por aprovechar los protocolos de comunicaci�n emergentes para fines de comando y control (C2) y evadir la detecci�n, NKAbuse aprovecha la tecnolog�a blockchain para llevar a cabo ataques distribuidos de denegaci�n de servicio (DDoS) y funcionar como un implante dentro de los sistemas comprometidos.

En concreto, utiliza el protocolo para comunicarse con el bot maestro y recibir/enviar �rdenes. El malware est� implementado en el lenguaje de programaci�n Go, y las pruebas apuntan a que se utiliza principalmente para atacar sistemas Linux, incluidos dispositivos IoT.

Por el momento se desconoce el alcance de los ataques, pero uno de los casos identificados por Kaspersky implica la explotaci�n de un fallo de seguridad cr�tico de seis a�os de antig�edad en Apache Struts (CVE-2017-5638, puntuaci�n CVSS: 10,0) para vulnerar una empresa financiera no identificada.

Una explotaci�n exitosa es seguida por la entrega de un script de shell inicial que se encarga de descargar el implante desde un servidor remoto, no sin antes comprobar el sistema operativo del host objetivo. El servidor que aloja el malware alberga ocho versiones diferentes de NKAbuse para soportar diversas arquitecturas de CPU: i386, arm64, arm, amd64, mips, mipsel, mips64 y mips64el.

Otro aspecto destacable es la ausencia de un mecanismo de autopropagaci�n, lo que significa que el malware debe llegar al objetivo a trav�s de otra v�a de acceso inicial, como la explotaci�n de fallos de seguridad.

"NKAbuse utiliza cron jobs para sobrevivir a los reinicios", afirma Kaspersky. "Para lograrlo, necesita ser root. Comprueba si el ID de usuario actual es 0 y, si es as�, procede a analizar el crontab actual, a�adi�ndose a s� mismo en cada reinicio".

NKAbuse tambi�n incorpora una serie de funciones de puerta trasera que le permiten enviar peri�dicamente un mensaje de heartbeat al bot maestro, que contiene informaci�n sobre el sistema, capturar im�genes de la pantalla actual, realizar operaciones con archivos y ejecutar comandos del sistema.

"Este implante en particular parece haber sido meticulosamente elaborado para su integraci�n en una botnet, aunque puede adaptarse para funcionar como puerta trasera en un host espec�fico", dijo Kaspersky. "Adem�s, su uso de la tecnolog�a blockchain garantiza tanto la fiabilidad como el anonimato, lo que indica el potencial de esta botnet para expandirse de forma constante en el tiempo, aparentemente desprovista de un controlador central identificable."

"Nos sorprende ver que NKN se utiliza de tal manera", dijo Zheng "Bruce" Li, cofundador de NKN, a The Hacker News. "Construimos NKN para proporcionar una verdadera comunicaci�n de igual a igual que sea segura, privada, descentralizada y masivamente escalable. Estamos intentando aprender m�s sobre el informe para ver si juntos podemos hacer que Internet sea segura y neutral."

Fuente: thehackernews