Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli specialisti di Ontinue hanno analizzato un nuovo malware chiamato VoidLink e sono giunti a una conclusione insolita. Sembra che il suo modulo di controllo non sia stato creato da esseri umani, ma da un sistema di generazione di codice basato sull’intelligenza artificiale.
Il programma, tuttavia, si è dimostrato perfettamente funzionante e in grado di persistere furtivamente in ambienti Linux, rubando credenziali e trasmettendole a un server remoto.
VoidLink è un centro di comando e controllo in grado di raccogliere e creare moduli infetti per server e piattaforme cloud. I ricercatori hanno esaminato l’agente principale, che viene eseguito sul sistema di destinazione e fornisce accesso a lungo termine.
Gli specialisti hanno individuato numerose caratteristiche tipiche del codice generato automaticamente. Il file binario conservava indicatori di fase del servizio e messaggi di debug dettagliati. Nei normali strumenti anti-malware, tali dettagli vengono in genere rimossi per ridurre il rischio di rilevamento.
L’agente è in grado di determinare esattamente dove è in esecuzione. Verifica se il sistema è in esecuzione nel cloud, all’interno di un container o su un server normale e adatta il suo comportamento all’ambiente. Sono supportate diverse piattaforme cloud principali. Il malware accede alle interfacce del servizio di metadati per determinare la regione, il tipo di macchina virtuale e altri parametri ambientali.
Un modulo separato raccoglie le credenziali. Cerca le chiavi di accesso nelle variabili di ambiente, nei file di configurazione e nell’archiviazione locale. Vengono verificate le chiavi di accesso remoto, i dati del sistema di controllo delle versioni, la cronologia dei comandi shell e i dati salvati del browser. Negli ambienti container, il programma tenta di estrarre i token del servizio di orchestrazione, che possono concedere privilegi estesi all’interno del cluster.
Quando viene rilevato un contenitore, vengono caricati moduli aggiuntivi per oltrepassarne i limiti e aumentare i privilegi. VoidLink include anche un set di strumenti stealth a livello kernel. Il metodo di occultamento viene selezionato in base alla versione del kernel Linux. Vengono utilizzate varie tecniche, dall’intercettazione delle chiamate di sistema alla sostituzione delle librerie in modalità utente.
La comunicazione con il server di comando e controllo è crittografata e mascherata da normale traffico web. Lo scambio di dati avviene tramite HTTPS e le richieste sembrano accedere a interfacce software standard. Ciò rende difficile il rilevamento durante l’analisi di rete. Nel campione è stato trovato un indirizzo di rete hardcoded per il nodo di comando e controllo.
I ricercatori hanno notato lo stile di implementazione. Il codice conteneva troppi messaggi di servizio dettagliati, indicatori formali per l’inizializzazione corretta e marcature di fase. Alcune fasi erano numerate con errori e omissioni. Tali artefatti sono tipici di una generazione frammentaria senza successiva revisione manuale. Gli autori di malware esperti, al contrario, in genere rimuovono commenti e diagnosi non necessari.
Gli esperti ritengono che VoidLink rappresenti una nuova tendenza.
Moduli dannosi completi per server e cloud possono ora essere sviluppati in modo significativamente più rapido utilizzando sistemi di generazione di codice. La barriera d’ingresso è più bassa, il che significa che è probabile che l’uso di strumenti simili negli attacchi aumenti. Ciò segnala la necessità per i team di difesa di monitorare più attentamente i campioni dannosi insoliti e “eccessivamente documentati”.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
