Laboratorios de Investigacin de Amenazas de Level 3

Los Laboratorios de Investigacin de Amenazas de Level 3 analizan proactivamente el escenario

global de las amenazas y correlacionan la informacin a travs de fuentes internas y externas para
ayudar a proteger a los clientes de Level 3 y a la Internet pblica.
Level 3 Communications, USA

La unin hace la fuerza Etapas colaborativas para

destruir a las Botnets (redes robticas): Cmo Level 3 y
Cisco trabajaron en conjunto para mejorar la seguridad
de Internet y frenar a los SSHPsychos

La habilidad de la comunidad de seguridad de la informacin para responder ante las amenazas y

descubrir vulnerabilidades mejora cada mes. La reaccin colectiva de la comunidad de seguridad
ante un nuevo hash de archivo, una nueva tcnica o mtodo de comunicacin nunca ha sido tan
slida. No obstante, los atacantes tambin realizan avances, superando inclusive a las defensas del
mundo de la seguridad.
Una forma de equilibrar este problema consiste no solo en focalizarse para identificar las amenazas,
sino tambin en encontrar un mtodo efectivo para eliminarlas de Internet. Frecuentemente se
confunde la identificacin del problema con la remocin del mismo, dejando a los atacantes bajo
observacin, pero an con la capacidad de alcanzar sus metas.
Es por ello que los Laboratorios de Investigacin sobre Amenazas de Level 3 y el Talos Group de
Cisco trabajaron en forma conjunta para investigar y mitigar el riesgo que presentan el escaneo de
toda la Internet en manos de un atacante y las botnet de DDoS, SSHPsychos.
Investigando a los actores maliciosos
A fines de septiembre de 2014, el blog Malware Must Die! inform sobre un nuevo malware Linux y
rootkit utilizado para los ataques de DDoS. A pesar de la completa descripcin, la amenaza persisti.
Ms de cuatro meses despus, FireEye identific un ataque de fuerza bruta SSH inusualmente
grande intentando cargar el mismo malware, que an segua siendo un rootkit y herramienta de DDoS
extremadamente efectiva cuando se combinaba con los intentos de login de fuerza bruta SSH.
Afortunadamente para la Comunidad de Internet, el Talos Group de Cisco continu trabajando en esta
campaa y realizando un seguimiento. En el primer trimestre de 2015, los seuelos o honeypots de
Talos tuvieron ms intentos de autenticacin de este atacante en particular (103.41.125.0/23 y
43.255.190.0/23) que de todos los dems en su conjunto.

Fuente: Talos Group de Cisco. ROJO/ROSA/NARANJA Atacante. VERDE Resto de Internet

A fines de marzo, Level 3 comenz sus tratativas con el Talos Group de Cisco para trabajar en
tndem, con el fin de mitigar esta amenaza para Internet. Los datos de la red de Level 3 confirmaron
la escala masiva lograda por este atacante al compararla con todo el trfico de Internet para SSH. Por
momentos, este solo atacante fue responsable de ms del 35% del total del trfico SSH de Internet.

Fuente: Laboratorios de Investigacin de Amenazas de Level 3

Claramente la toma de conocimiento de la comunidad de seguridad respecto del evento en general

no fue suficiente para desalentar al atacante y haba que hacer algo ms sustancial para que
ocurriera alguna mejora.
Nuestra meta, al confirmar un riesgo para Internet, consiste en eliminarlo lo ms ampliamente posible;
no obstante, antes de eliminar algo de la Internet, es importante entender acabadamente el impacto
que puede tener para anfitriones ms benignos. Y para lograrlo, es necesario contar con ms
informacin acerca de las herramientas e infraestructura del atacante.
Los datos del honeypot del Talos Group permitieron identificar qu acciones se tomaron luego de que
tuviera lugar un login exitoso de fuerza bruta de raz SSH. En este ejemplo, la cadena de eventos
condujo a la descarga de un archivo de un servidor web, ejecutndose en 23.234.60.140 (resuelto
desde ftp.rxxiaoao.com) y 23.234.19.202. El primer host inserta /instala archivos denominados
8000.rar a travs de 8008.rar, y el segundo a06 a travs de a11 dentro del /directorio i.
Una vez descargados los archivos, el equipo de Investigaciones de Amenazas de Level 3 confirm la
informacin suministrada en el blog Malware Must Die! de septiembre, el nombre del archivo est
estructurado para alinearse con el puerto en donde tendr lugar la eventual comunicacin con la
botnet. Sin embargo, el atacante se haba movilizado desde el puerto 3502 a travs del 3505 que
fueron utilizados nuevamente en septiembre y ahora estn usando los puertos TCP 8000 hasta el
8008 y 3306.
El primer archivo del host es un shell script ms detallado, que provee una visin sobre parte de la
lgica usada por el atacante. A pesar llevar por nombre una extensin .rar, cada archivo es realmente
un shell script Unix, que utiliza la misma ofuscacin que en septiembre:
dec(){ echo $@|tr [a-zA-Z0-9\;-=+*\/] [.0-9a-zA-Z\/\/\:]; }
La cadena de caracteres de traduccin no cambi en absoluto.
Esta simple funcin bash dec() toma el texto ofuscado y traduce los caracteres nuevamente al texto
propuesto. Con esta funcin podemos extraer las cadenas de caracteres interesantes desde el
archivo 8000.rar file recuperado:

Fuente: Laboratorios de Investigacin de Amenazas de Level 3

Las lneas ms importantes aqu son las de la variable __download_url__ donde se recupera la
ejecutable real y la variable __remote__, que se usa para comunicacin de comando y control.
La nica diferencia entre cada script (8000.rar vs 8008.rar por ejemplo) es el nombre del documento
__download_url__ y los nmeros de puerto para cambio __remote__, que coinciden con el nmero
del nombre del archivo del script.
Luego de confirmar que el malware no haba tenido ningn cambio estructural, los Laboratorios de
Investigacin de Amenazas de Level 3 lo cargaron dentro de un CentOS 7 VM como raz y lo
observaron trabajar.
Monitoreo de la Comunicacin Botnet en accin
Despus de recuperar y ejecutar el binario ejecutable desde la __download_url__ en 23.234.60.140 y
23.234.19.202, el bot comienza inmediatamente a buscar su anfitrin de comando y de control. El
ejecutable registra los cdigos 8.8.8.8 y 8.8.4.4 como sus resolvedores de DNS y procede a intentar
resolucin DNS para los nombres de host configurados. Luego, intenta conexiones con las IP y
nombres host resueltos que estaban contenidos dentro de la lnea __remote__ del shell script.

En el caso de nuestra mquina virtual (VM) las diversas versiones del malware pudieron establecer
conectividad con C2s en:

103.240.140.152 (resuelto desde ndns.dsaj2a.org y ns2.hostasa.org)

162.218.112.7 (resuelto a partir de ndns.dsaj2a1.org)
104.143.5.25 (resuelto a partir de ndns.dsaj2a1.org y ns1.hostasa.org)
103.240.141.54 (resuelto a partir de ndns.dsaj2a.com, ndns.hcxiaoao.com, y ns3.hostasa.org)

Otras conductas de comunicacin ocurrieron tal como se esperaba: Como parte de una botnet de
DDoS, nuestro bot tena la instruccin de lanzar inundaciones SYN (SYN floods) cada vez que se
conectaba a la C2. Los paquetes SYN no tenan ningn relleno para maximizar el uso de la banda
ancha y no se molestaron en tener que crear una conexin falsa de origen (spoof). La comunicacin
de ataque desde el C2 ordenndole a nuestro bot que atacara, fue confirmada como XORed con la
misma clave (BB2FA36AAA9541F0) que ha estado en uso desde la investigacin original del
malware.
La otra comunicacin digna de destacar fue la recuperacin cada 30 minutos de /config.rar desde el
sitio original que alojaba al malware (23.234.60.140), esta vez resolviendo el nombre host
info.3000uc.com. El archivo fue recuperado con el usuario-agente: Mozilla/4.0 (compatible; MSIE 6.0;
Windows NT 5.2; SV1; TencentTraveler ; .NET CLR 1.1.4322)
Este archivo, al igual que los dems, no era un archivo RAR, sino que esta vez era XORed con la
misma clave de 128bit que la comunicacin C2. Despus de decodificarla, el equipo descubri un
archivo de configuracin que contena las siguientes claves: md5, denyip, filename, y rmfile. Los
mismos contienen valores que hacen referencia a una serie de otros troyanos y malware conocidos.
Los investigadores en avast! confirmaron que la configuracin se usa para remover y destruir al
malware competidor de modo que el bot pueda tener control total de la mquina.
Los contenidos actuales del archivo decodificado pueden leerse aqu a modo de una fuente que le
ayude a encontrar indicadores de que otros atacantes estn comprometiendo su red.
Ahora que hemos confirmado qu hace el malware, cmo se comunica, y con quin est hablando,
comenzamos a evaluar su impacto a las vctimas en la Internet en general.
Impacto a la vctima

Fuente: laboratorios de Investigacin de Amenazas de Level 3

Durante dos semanas a fines de marzo y principios de abril, monitoreamos un amplio nmero de IP
escaneadas por los atacantes. Tambin identificamos cules hosts en Internet eran participantes
activos en la botnet. De los hosts de la botnet, podemos ver que las comunicaciones C2 se dan entre
los puertos TCP 8000-8008 y 3306, como se aprecia en la versin actual del malware. No obstante,
una serie de hosts seguan an comunicndose por los puertos TCP 3502-3508 como vimos en las
versiones previas.
Luego de evaluar la escala masiva, impacto y duracin, decidimos que era hora de trabajar para
sacar a esta infraestructura maliciosa de circulacin de la Internet.
Desmantelamiento
El martes 7 de abril de 2015, Level 3 intervino creando un gran agujero negro para atraer todo el
trfico del atacante hacia nuestras redes globales. De esta manera nos aseguramos de que ningn
trfico del atacante se enviara exitosamente a travs de Level 3. Comenzamos a comunicarnos con
otros operadores de red, informndoles acerca de la amenaza y solicitndoles que siguieran nuestro
ejemplo para eliminarla de la Internet global en forma permanente.
Asimismo estamos monitoreando las acciones del atacante para estar atentos ante cualquier cambio
que realicen a la infraestructura de ataque. A lo largo del perodo de anlisis el atacante cambi sus
operaciones de escaneo SSH de 103.41.124.0/23 a 43.255.190.0/23, junto con cambios mltiples de
C2 e IP de malware. Nuestro equipo espera continuar con este monitoreo en la medida que el
atacante intente resucitar su capacidad de DDoS.
Qu debera hacer
Para quienes tengan mquinas Linux ejecutando sshd en la Internet abierta, asegrense de seguir las
mejores prcticas para inhabilitar login raz en su archivo de configuracin sshd. Ya con esa medida
estara evitando que este atacante en particular tenga xito en su entorno.
Adicionalmente, debera considerar ejecutar su demonio SSH de modo tal que evite estos tipos de
ataques. Ejecutar un firewall localmente en la mquina Linux para protegerse de intentos de ataques
desconocidos es una medida slida cuando es posible. Sin embargo, cuando ocurre un escaneado no
sofisticado, an la medida extremadamente simple de ejecutar SSH en un puerto no estndar puede
utilizarse como un mtodo de prevencin. La mayora de los escneres de commodity y clientes de
malware no buscarn servicios en puertos no estndar.
Resulta asimismo importante asegurarse que las contraseas tengan una complejidad mnima y que
los ataques comunes de diccionario no sean efectivos contra la contrasea de cualquier usuario. Para
ayudarlo a protegerse de este problema, hemos anexado las contraseas que este atacante intent y

que fueran compiladas por los honeypots de Cisco. El listado, disponible aqu, puede encriptarse y
compararse a las contraseas de los usuarios para validar que no puedan ser atacadas fcilmente.
Asimismo recomendamos que todo el mundo monitoree el trfico DNS que atraviesa sus redes
buscando anomalas. Este malware en particular pre-program IP resolvedoras abiertas que habran
sido un indicador para las vctimas infectadas sobre la presencia de anomalas en su entorno.
Naturalmente, que debera revisar el trfico a cualquiera de las IP o nombres host mencionados aqu
para asegurarse de que no tiene ningn dispositivo hablando o comunicndose con el atacante o
participando de la botnet:

Defendiendo Internet
Con posterioridad al hallazgo de un ataque, resulta crtico que la comunidad de seguridad limpie la
infraestructura del atacante y su habilidad de ejecutar, en lugar de simplemente observar el problema.
Dicha colaboracin lleva a una mejora en la postura de seguridad de Internet en su conjunto. En el
caso de los SSHPsychos, el trabajo realizado por los equipos combinados de Level 3 y Cisco ha
arrojado como resultado una mejora en la seguridad para todos aquellos que usen Internet. En Level
3 y Cisco esperamos continuar con dicha tendencia juntos y ver que otros se sumen a nuestros
esfuerzos. La unin hace la fuerza.