Seguridad

Cómo los bots maliciosos intentan evadir la detección transformándose

Para los sistemas Windows y Linux, el bot Necro Python cambia su código para evadir la detección de seguridad tradicional, dijo Cisco Talos.

necro python cisco talos
Imagen: Cisco Talos

Los ciberdelincuentes a menudo usan bots automatizados para implementar infecciones de malware, tomar el control de computadoras remotas y realizar otros ataques cibernéticos. Si bien los robots pueden parecer limitados en inteligencia y destreza, los robots sofisticados pueden causar mucho daño en nombre de los atacantes.Una reportaje publicado el jueves El proveedor de inteligencia de amenazas Cisco Talos observó un bot que utiliza la transformación de código en su totalidad.

Mirar: Política de concienciación y formación sobre seguridad (República Tecnológica Premium)

Apodado Necro Python, el bot rastrea las computadoras que ejecutan Windows o Linux al explotar los agujeros de seguridad en el sistema operativo o las aplicaciones instaladas.

Para la infección inicial, Necro utiliza un descargador basado en Java.El malware se implementa a través de un intérprete de Python y scripts maliciosos y ejecutables creados con aplicaciones de Python. Instalador.

Aunque el Necro apareció por primera vez a principios de este año, la última versión revela varios cambios y nuevos poderes. La actividad descubierta por Talos muestra comunicaciones de comando y control (C2) dispares y nuevas vulnerabilidades que ayudan a que se propague. En particular, el bot explotó vulnerabilidades en VMWare vSphere, SCO OpenServer y Vesta Control Panel, así como vulnerabilidades basadas en Windows SMB, ninguna de las cuales se encontró en versiones anteriores del código.

Una de las características más sorprendentes que se encuentran en la última versión de Necro es la deformación del código. Talos descubrió que el código del script podía transformarse en una forma diferente después de cada iteración. Esta habilidad convierte a Necro en un gusano polimórfico que puede propagarse abusando de un número creciente de interfaces basadas en web y vulnerabilidades de SMB.

LEER  Estudio: Los presupuestos de seguridad de TI aumentan un 41 % en 2014

Además de sus capacidades de cambio de forma, Necro también instala un rootkit en modo de usuario para ocultar sus archivos, procesos y entradas de registro maliciosos. El objetivo general es hacer que los bots sean más difíciles de detectar.Estas tácticas pueden ayudar a Necro a eludir las protecciones de seguridad básicas y tradicionales, pero Talos dijo que será detectado por herramientas de detección más modernas, que incluyen Detección y respuesta extendidas producto.

Mirar: El proveedor de Apple Quanta golpeado por un ataque de ransomware de $ 50 millones de REvil (República tecnológica)

El bot tiene otro truco, y es la minería de Monero, una popular minería de criptomonedas. Para configurarlo, Necro instaló una variante de xmrig, un programa de código abierto que usa la CPU del sistema para la minería de Monero. El bot también inyecta código malicioso en HTML y archivos de secuencias de comandos para agregar mineros basados ​​en JavaScript y más formas de controlar y secuestrar información de diferentes navegadores. Si el usuario abre la aplicación infectada, el minero JavaScript Monero se ejecuta a través del navegador.

Necro intenta específicamente propagarse a través de la red utilizando software del lado del servidor. Al igual que otros robots como Mirai, Necro apunta a enrutadores pequeños y de oficina en el hogar. Pero usa Python para acceder a diferentes sistemas operativos, en lugar de descargar código compilado para cada plataforma.

necro python functionality cisco talos
Una descripción general de alto nivel del bot Necro y sus capacidades.
Imagen: Cisco Talos

«El bot Necro Python muestra un actor que sigue los desarrollos recientes en las vulnerabilidades de ejecución de comandos remotos en varias aplicaciones web e incorpora nuevas vulnerabilidades en el bot”, dijo Talos en su informe. “Esto aumenta su propagación y las posibilidades de infectar el sistema. Los usuarios necesitan para garantizar que las últimas actualizaciones de seguridad se apliquen regularmente a todas las aplicaciones, no solo al sistema operativo”.

Para ayudar a las organizaciones a protegerse de bots maliciosos como Necro, el investigador de amenazas de Cisco Talos, Vanja Svajcer, ofrece los siguientes consejos:

Aplique los últimos parches de seguridad, especialmente en los servidoresLa forma más importante de protegerse contra bots y gusanos como Necro es instalar los últimos parches de seguridad para sus aplicaciones y sistemas operativos. Con Necro, la aplicación de destino es del lado del servidor, por lo que debe asegurarse de que su servidor esté actualizado con los parches correctos.

Implementar una política de contraseña seguraNecro tiene una lista de credenciales predeterminadas para intentar verificar el acceso por recinto seguroPor este motivo, las organizaciones deben establecer políticas de contraseñas seguras junto con la autenticación multifactor. Además, asegúrese de cambiar las credenciales predeterminadas para cualquier hardware o software con acceso a Internet.

Use herramientas confiables de detección y prevención de endpointsConfiar en un producto de protección de punto final de buena reputación que esté correctamente configurado y actualizado puede ayudar a bloquear Necro y amenazas similares.

LEER  Expel lanza detección y respuesta gestionadas para Microsoft

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba