Encontrada una variante para Linux del backdoor Winnti

Expertos de seguridad de la firma Chronicle, la división de ciberseguridad de Googole, han encontrado recientemente una variante del sobradamente conocido Winnti, un conocido backdoor (puerta trasera) que causó importantes problemas desde su aparición en 2013.

Es la primera vez que se encuentra una versión para sistemas basados en linux de este malware, que por cierto vino desarrollado por grupos diseñadores de APT (Advanced Persistent Threat) vinculados a China. De hecho, ya intentaron causar daños a rivales políticos como en El Tíbet.

El backdoor Winnti tiene una variante en Linux

Los expertos creen que bajo el paraguas de Winnti se sitúan diversos grupos de hackers expertos en APT, como Winnti, Gref, PlayfullDragon, DeputyDog, Axiom, BARIUM, LEAD, Passcv, Wicked Panda o ShadowPad.

Todos estos grupos usarían similares tácticas, técnicas y procedimientos, lo que se conoce como TTPs. En algunos casos incluso compartirían porciones de código para su posterior reutilización por otras bandas.

El pasado mes de Abril la multinacional Bayer fue atacada y, buscando muestras relacionadas con dicho caso y buscando muestras en la base de datos de Virustotal, acabaron descubriendo una variante Winnti para sistemas Linux que data de 2015. En su momento dicho malware lo usaron para atacar una empresa vietnamita dedicada a videojuegos.

En Abril de 2019 aparecieron informes de una intrusión relacionada con Winnti en una empresa farmacéutica alemana. […] El análisis de estos fragmentos sigue en curso. Mientras revisábamos un informe de 2015 sobre una intrusión en una empresa de videojuegos en Vietnam, indentificamos un pequeño lote de muestras de Winnti diseñadas especialmente para Linux.

El análisis técnico de esta muestra reveló la existencia de dos archivos:

• libxselinux (backdoor)
• libxselinux.so (una librería usada para evitar la detección antivirus)

Capacidades del malware

Esta versión del backdoor es modular, por lo que implementa diferentes funciones en varios plugins. Durante el análisis no ha podido rastrearse ningún plugin en marcha actualmente. Se habría utilizado algún módulo extra para garantizar contacto con el C&C, así como exfiltración de archivos y proxy sobre la máquina afectada con socks5.

Esta estructura es similar a la presentada por Kaspersky en su análisis de Winnti 2.0.

Al igual que en la versión diseñada para Windows, esta versión para el pingüino controla comunicaciones salientes mediante ICMP, HTTP o protocolos TCP/UDP modificados. Pero además se implementó otra función para permitir a los host infectados iniciar la conexión saliente sin esperar la llamada del C&C.

Esta característica podría haberles venido bien en caso de que los sistemas remotos perdiesen contacto con los servidores de control «hardcodeados» en su código. Esto además era conveniente para garantizarse un método de reentrada en la red atacada si eran expulsados.

Detección de la amenaza

Dado que este malware azotó también a la empresa ThyssenKrupp (en 2016), sus expertos del CERT decidieron publicar un script de Nmap que podría teóricamente detectar la presencia de Winnti mediante escaneos de red con esta popular herramienta de auditoría.

Instalación

user@mint ~/src $ wget https://raw.githubusercontent.com/TKCERT/winnti-nmap-script/master/winnti-detect.nse
user@mint ~/src $ wget https://nmap.org/dist/nmap-7.60.tar.bz2
user@mint ~/src $ tar xvf nmap-7.60.tar.bz2
user@mint ~/src $ cd nmap-7.60
user@mint ~/src/nmap-7.60 $ apt install build-essential
user@mint ~/src/nmap-7.60 $ ./configure && make

Uso

user@mint ~/src/nmap-7.60 $ ./nmap -sT 127.0.0.1 -p 80,631 --script ../winnti-detect.nse

Resultado (ejemplo)

Starting Nmap 7.60 ( https://nmap.org ) at 2018-03-10 12:25 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0018s latency).

PORT STATE SERVICE
80/tcp closed http
631/tcp open ipp

Host script results:
| winnti-detect:
| PORTS
|_ 631 clean

Nmap done: 1 IP address (1 host up) scanned in 0.33 seconds

Recuerda que puedes leer el siguiente artículo para aprender comandos útiles de Nmap.