Gitpaste-12 la botnet de shell inverso que se propaga a través de GitHub y Pastebin

0
1177

Un gusano y una botnet recientemente descubiertos llamado Gitpaste-12 vive en GitHub y también usa Pastebin para alojar código malicioso.

El malware avanzado viene equipado con caparazón inverso y capacidades de minería criptográfica y explota más de 12 vulnerabilidades conocidas, de ahí el apodo.

Se propaga a través de GitHub, ataca de 12 formas diferentes

Gitpaste-12 fue detectado por primera vez por Juniper Threat Labs al acecho en GitHub alrededor del 15 de octubre.

Sin embargo, las confirmaciones revelan que el malware ha estado presente en GitHub desde el 9 de julio de 2020 hasta que se eliminó el 30 de octubre de 2020.

El gusano intenta descifrar contraseñas mediante la fuerza bruta y aprovecha las vulnerabilidades conocidas en los sistemas que infecta.

11 de estas vulnerabilidades son las siguientes, y la 12 proviene de una aplicación de fuerza bruta Telnet utilizada para difundir Gitpaste-12:

CVE-2017-14135Complemento webadmin para opendreambox
CVE-2020-24217Codificadores de video IPTV / H.264 / H.265 basados ​​en HiSilicon
CVE-2017-5638Apache Struts
CVE-2020-10987Enrutador Tenda
CVE-2014-8361Servicio Miniigd SOAP en Realtek SDK
CVE-2020-15893UPnP en enrutadores dlink
CVE-2013-5948Enrutadores Asus
ID-EDB: 48225Enrutador Netlink GPON
EDB-ID: 40500Cámara IP AVTECH
CVE-2019-10758MongoDB
CVE-2017-17215(Enrutador Huawei)

Después del compromiso inicial del sistema, Gitpaste-12 descarga un script recursivo de una URL de Pastebin que indica al host infectado que siga ejecutando este mismo script cada minuto.

Esta es una forma de que el malware siga actualizándose desde la fuente Command and Control (C2), que es simplemente una URL pegada:

Screenshot 0Carga útil inicial de Gitpaste-12 en una URL de pastebin que desde entonces se ha eliminado
Fuente: Juniper

Además, el malware descarga el script de shell principal de GitHub.

Desde entonces, se ha eliminado la URL donde había estado el script de shell:  https: //raw.githubusercontent [.] Com / cnmnmsl-001 / – / master / shadu1

“El malware comienza preparando el entorno. Esto significa despojar al sistema de sus defensas, incluidas las reglas de firewall, selinux , apparmor , así como el software común de prevención y monitoreo de ataques”, afirman los investigadores de Juniper Threat Labs Alex Burt y Trevor Pott.

Screenshot 1Script de shell principal de Gitpaste-12 que comienza a atacar las defensas de un host, como los firewalls

De hecho, algunos de los comandos y nombres de host presentes en el script revelan que Gitpaste-12 está diseñado para atacar la infraestructura de computación en la nube proporcionada por Alibaba Cloud y Tencent.

Además, la botnet está equipada con un minero de criptomonedas Monero (XMR).

Pero hay más: el gusano se propaga apuntando a una lista de direcciones IP generadas aleatoriamente dentro de un rango de subred.

“El malware Gitpaste-12 también contiene un script que lanza ataques contra otras máquinas, en un intento de replicarse y propagarse. Elige un CIDR / 8 aleatorio para el ataque y probará todas las direcciones dentro de ese rango”, afirman los investigadores de Juniper.

Los investigadores también observaron que algunos sistemas comprometidos tenían puertos TCP 30004 y 30005 abiertos para recibir comandos a través de shells inversos.

Gitpaste-12 tiene una tasa de detección baja

Teniendo en cuenta lo reciente de su descubrimiento, algunos archivos asociados con la botnet Gitpaste-12 tienen una tasa de detección bastante baja.

En el momento de escribir este artículo, BleepingComputer observó que la   carga útil hide.so, que ayuda a Gitpaste-12 a evadir la detección, era en sí misma indetectable por más del 93% de los motores antivirus.

Screenshot 2Gitpaste-12 hide.so payload tiene una tasa de detección muy baja

De manera similar, el archivo de configuración del cripto minero y el script de shell aún no han sido marcados por ningún  motor antivirus listado en VirusTotal, como lo observó BleepingComputer:

Screenshot 3Algunos archivos tienen una tasa de detección de cero hasta ahora
Fuente: VirusTotal

El informe de Juniper sobre un software malicioso sofisticado presente en GitHub se produce poco después de que se descubriera que Octopus Scanner se infiltraba en más de 26 proyectos de código abierto de GitHub.

Y se espera que los ataques que aprovechan el ecosistema de código abierto sigan creciendo, dado su desarrollo continuo.

“Hay evidencia de código de prueba para posibles módulos futuros, lo que indica el desarrollo continuo de este malware. Por ahora, sin embargo, los objetivos son servidores x86 basados ​​en Linux, así como dispositivos IoT basados ​​en Linux ARM y MIPS”, indicó el informe publicado por Juniper Threat. Labs.

Gitpaste-12 Indicators of Compromise (IOC) como se indica a continuación, y la investigación detallada de Juniper se puede encontrar en su informe.

Minero:e67f78c479857ed8c562e576dcc9a8471c5f1ab4c00bb557b1b9c2d9284b8af9
hide.so:ed4868ba445469abfa3cfc6c70e8fdd36a4345c21a3f451c7b65d6041fb8492b
Configuración de minero:bd5e9fd8215f80ca49c142383ba7dbf7e24aaf895ae25af96bdab89c0bdcc3f1
Script de shell:5d1705f02cde12c27b85a0104cd76a39994733a75fa6e1e5b014565ad63e7bc3

Fuente: https://www.bleepingcomputer.com/