BlackRota Backdoor
BlackRota ist eine Backdoor-Bedrohung, die in der Programmiersprache Go geschrieben ist. BlackRota nutzt eine Sicherheitsanfälligkeit bezüglich nicht autorisierten Zugriffs aus, die in der Docker Remote-API gefunden wurde. Die Bedrohung kann sowohl 64-Bit- als auch 86-Bit-Architekturen gefährden, funktioniert jedoch nur auf Linux-Systemen. Ein einzigartiges Merkmal von BlackRota ist die Verschleierungsstufe, die von den für die Bedrohung verantwortlichen Hackern implementiert wurde. Es ist äußerst selten, dass in Go geschriebene Malware so intensive Verschleierungsmaßnahmen aufweist. Tatsächlich geben die Infosec-Forscher, die BlackRota analysiert haben, an, dass es sich um die am meisten verschleierte Go-Malware handelt, auf die sie bisher gestoßen sind.
Nachdem BlackRota sein Ziel infiltriert hat, legt es fest, was die Forscher als "Geacon" bezeichneten. Es stellt ein Leuchtfeuer dar, über das die Malware mit ihrem Command-and-Control-Server kommuniziert, um Befehle zu empfangen und gesammelte Daten zu filtern. Es wurde bereits beobachtet, dass das in BlackRota implementierte Beacon von CobaltStrike verwendet wird, einem Malware-Tool, das von Bedrohungsakteuren zur Verbreitung von Ransomware verwendet wird. Zu den bedrohlichen Funktionen, die BlackRota zur Verfügung stehen, gehört die Möglichkeit, Shell-Befehle auszuführen, Browser zu erstellen, Dateien vom gefährdeten System hoch- und herunterzuladen, Verzeichnisse zu ändern oder einen Zeitgeber für die Schlafverzögerung festzulegen.
Um potenzielle Forscher vom Reverse Engineering abzuhalten, setzt BlackRota verschiedene Verschleierungstechniken ein. Erstens nutzt es ein Open-Source-Tool für in Go geschriebenen Code namens gobfuscate, was dazu führt, dass verschiedene Elemente des zugrunde liegenden Codes der Malware wie globale Variablen- und Paketnamen, Methodennamen, Typnamen und Funktionsnamen hinter zufälligen Zeichen versteckt werden. Dieselbe Gobfuscate-App ist auch für die Codierung aller Codezeichenfolgen mit der kryptografischen XOR-Verschlüsselung verantwortlich. Jede BlackRota-Zeichenfolge wird während der Ausführung dynamisch dekodiert.
Das Analysieren von Go-geschriebenem Code stellt aufgrund der Art und Weise, wie Binärdateien erstellt werden, eine Herausforderung für sich dar. Durch die Verwendung vollständig statischer Bibliotheken erreichen die entsprechenden Binärdateien vergleichsweise große Größen. Wenn Forscher eine solche Datei in einem Demontagetool öffnen, werden ihnen möglicherweise Zehntausende von Funktionen angezeigt, die, wenn die entsprechenden Symbole fehlen, die Zeit für eine akzeptable Analyse erheblich verlängern können.
