Um relatório da Stairwell diz que um grupo de hackers chineses usam DNS sobre HTTPS para comunicação em computadores com Linux invadidos.
O grupo de ameaças chinês ‘ChamelGang’ infecta dispositivos Linux com um implante anteriormente desconhecido chamado ‘ChamelDoH’, permitindo comunicações DNS sobre HTTPS com os servidores dos invasores.
Hackers chineses usam DNS sobre HTTPS para comunicação
O agente da ameaça em particular foi documentado pela primeira vez em setembro de 2021 pela Positive Technologies; no entanto, os pesquisadores se concentraram apenas no kit de ferramentas do Windows.
Um relatório publicado ontem pela Stairwell e compartilhado com o site BleepingComputer descreve um novo implante Linux escrito em C++ que expande o arsenal de intrusão do agente da ameaça e, por extensão, os indicadores de comprometimento dos invasores.
A ligação entre o ChamelGang e o novo malware Linux é baseada em um domínio previamente associado ao agente da ameaça e uma ferramenta personalizada de elevação de privilégios observada pela Positive Technologies em campanhas anteriores do ChamelGang.
O protocolo DNS (sistema de nome de domínio) é usado por software e sistemas operacionais para resolver nomes de host legíveis por humanos em endereços IP, que são então usados para fazer conexões de rede.
No entanto, as consultas de DNS são enviadas como texto simples e não criptografado, permitindo que organizações, ISPs e outros monitorem as solicitações de DNS.
Como isso é considerado um risco à privacidade e permite que os governos censurem a Internet, um novo protocolo DNS chamado DNS-over-HTTPS foi criado para criptografar as consultas DNS para que não possam ser espionadas.
No entanto, esta é uma faca de dois gumes, pois o malware pode usá-lo como um canal de comunicação criptografado eficaz, tornando mais difícil para o software de segurança monitorar a comunicação de rede maliciosa.
No caso do ChamelDoH, o DNS-over-HTTPS fornece comunicação criptografada entre um dispositivo infectado e o servidor de comando e controle, tornando as consultas maliciosas indistinguíveis do tráfego regular de HTTPS.
Além disso, o DoH pode ajudar a contornar servidores DNS locais usando servidores compatíveis com DoH fornecidos por organizações respeitáveis, o que não foi visto neste caso.
Por fim, como as solicitações de DNS usam servidores DoH legítimos do Google e da Cloudflare, bloqueá-los é praticamente impossível sem afetar o tráfego legítimo.
ChamelDoH usa duas chaves armazenadas em sua configuração JSON, “ns_record” e “doh”, para obter nomes de host C2 e uma lista de provedores de nuvem DoH legítimos que podem ser abusados para realizar consultas DoH.
Todas as comunicações do malware são criptografadas usando AES128 e uma codificação base64 modificada que contém substitutos para caracteres não alfanuméricos. Os dados transmitidos são então anexados como nomes de host aos servidores de comando e controle de malware listados.
Essa modificação permite que o malware emita solicitações TXT para domínios contendo as comunicações codificadas do servidor de comando e controle (C2), obscurecendo a natureza dessas solicitações e reduzindo a probabilidade de serem detectadas.
Por exemplo, ao consultar o registro TXT, uma consulta DoH do malware usaria .ns2.spezialsec[.].com. O servidor de nomes mal-intencionado que recebe a consulta extrai e descriptografa a parte codificada para receber os dados filtrados do dispositivo infectado.
O C2 responderia com um registro TXT codificado contendo os comandos que o malware deveria executar no dispositivo infectado.
Após a execução, o malware coletará dados básicos sobre seu host, incluindo nome, endereço IP, arquitetura da CPU e versão do sistema, e gerará um ID exclusivo.
Os pesquisadores da Stairwell descobriram que o ChamelDoH oferece suporte aos seguintes comandos que seus operadores podem emitir remotamente por meio dos registros TXT recebidos em solicitações de DNS sobre HTTPS:
- run – Executa um comando de arquivo/shell
- sleep – Defina o número de segundos até o próximo check-in
- wget – Baixe um arquivo de um URL
- upload – Ler e fazer upload de um arquivo
- download – Baixe e escreva um arquivo
- rm – Excluir um arquivo
- cp – Copie um arquivo para um novo local
- cd – Altere o diretório de trabalho
A análise de Stairwell mostrou que ChamelDoH foi carregado pela primeira vez no VirusTotal em dezembro de 2022.
No momento em que escrevo isso, ele não é sinalizado como malicioso por nenhum dos mecanismos AV da plataforma.