Puerta trasera BlackRota

BlackRota es una amenaza de puerta trasera escrita en el lenguaje de programación Go. BlackRota aprovecha una vulnerabilidad de acceso no autorizado que se encuentra en la API de Docker Remote. La amenaza es capaz de comprometer arquitecturas de 64 y 86 bits, pero solo funciona en sistemas Linux. Una característica única de BlackRota es el alto nivel de ofuscación que han implementado los piratas informáticos responsables de la amenaza. Es extremadamente raro que el malware escrito en Go incluya medidas de ofuscación tan intensivas. De hecho, los investigadores de seguridad de información que analizaron BlackRota afirman que es el malware Go más ofuscado que han encontrado hasta la fecha.

Después de infiltrarse en su objetivo, BlackRota establece lo que los investigadores llamaron un 'geacon'. Representa una baliza a través de la cual el malware se comunica con su servidor de comando y control para recibir comandos y filtrar los datos recopilados. Se ha observado previamente que la baliza particular implementada en BlackRota es utilizada por CobaltStrike, una herramienta de malware utilizada por los actores de amenazas para propagar ransomware. Entre las funcionalidades amenazadoras disponibles para BlackRota se encuentra la capacidad de ejecutar comandos de shell, navegador, cargar y descargar archivos del sistema comprometido, cambiar directorios o establecer un temporizador de retraso de suspensión.

Para disuadir a los posibles investigadores de realizar ingeniería inversa, BlackRota emplea varias técnicas de ofuscación. Primero, aprovecha una herramienta de código abierto para el código escrito en Go llamado gobfuscate, lo que da como resultado que varios elementos del código subyacente del malware, como variables globales y nombres de paquetes, nombres de métodos, nombres de tipos y nombres de funciones, se oculten detrás de caracteres aleatorios. sustituciones. La misma aplicación gobfuscate también es responsable de codificar todas las cadenas del código con el cifrado criptográfico XOR. Cada cadena de BlackRota se decodifica dinámicamente durante la ejecución.

El análisis del código escrito en Go presenta desafíos en sí mismo debido a la forma en que se crean los archivos binarios. El uso de bibliotecas completamente estáticas significa que los archivos binarios correspondientes alcanzan tamaños comparativamente grandes. Cuando los investigadores abren un archivo de este tipo en una herramienta de desmontaje, se les presentan potencialmente decenas de miles de funciones que, si faltan los símbolos correspondientes, podrían aumentar enormemente el tiempo necesario para alcanzar un análisis aceptable.