Threat Database Backdoors BlackRota Backdoor

BlackRota Backdoor

BlackRota est une menace de porte dérobée écrite dans le langage de programmation Go. BlackRota exploite une vulnérabilité d'accès non autorisé trouvée dans l'API Docker Remote. La menace est capable de compromettre les architectures 64 bits et 86 bits, mais ne fonctionne que sur les systèmes Linux. Une caractéristique unique de BlackRota est le niveau élevé d'obscurcissement mis en œuvre par les pirates informatiques responsables de la menace. Il est extrêmement rare que les logiciels malveillants écrits en Go présentent des mesures d'obscurcissement aussi intensives. En fait, les chercheurs d'Infosec qui ont analysé BlackRota affirment qu'il s'agit du malware Go le plus obscurci qu'ils aient rencontré à ce jour.

Après avoir infiltré sa cible, BlackRota établit ce que les chercheurs ont appelé un «geacon». Il représente une balise à travers laquelle le malware communique avec son serveur de commande et de contrôle pour recevoir des commandes et exfiltre les données collectées. La balise particulière implémentée dans BlackRota a déjà été observée comme étant utilisée par CobaltStrike, un outil malveillant utilisé par les acteurs de la menace pour propager des ransomwares. Parmi les fonctionnalités menaçantes disponibles pour BlackRota, il y a la possibilité d'exécuter des commandes shell, un navigateur, de télécharger et de télécharger des fichiers à partir du système compromis, de changer de répertoire ou de définir un délai de mise en veille.

Pour dissuader les chercheurs potentiels de procéder à une ingénierie inverse, BlackRota emploie plusieurs techniques d'obfuscation. Premièrement, il exploite un outil open-source pour le code écrit en Go nommé gobfuscate, ce qui entraîne le masquage de divers éléments du code sous-jacent du logiciel malveillant, tels que les noms de variables globales et de packages, les noms de méthodes, les noms de types et les noms de fonctions cachés derrière un caractère aléatoire substitutions. La même application gobfuscate est également responsable de l'encodage de toutes les chaînes du code avec le chiffrement cryptographique XOR. Chaque chaîne BlackRota est décodée dynamiquement lors de l'exécution.

L'analyse du code écrit par Go présente des défis en soi en raison de la façon dont les fichiers binaires sont construits. L'utilisation de bibliothèques entièrement statiques signifie que les fichiers binaires correspondants atteignent des tailles comparativement grandes. Lorsque les chercheurs ouvrent un tel fichier dans un outil de démontage, on leur présente potentiellement des dizaines de milliers de fonctions, qui, si les symboliques correspondantes font défaut, pourraient considérablement augmenter le temps nécessaire pour parvenir à une analyse acceptable.

Tendance

Le plus regardé

Chargement...