El nuevo Botnet de Linux B1txor20 hace uso del túnel DNS y explota la falla de Log4J

¡Conoce el nuevo malware Botnet que esta Linux!

Nuevo Botnet de Linux B1txor20
Nuevo Botnet de Linux B1txor20

Se dió a conocer una clase de puerta trasera que no había sido documentada anteriormente, está va dirigida a los sistemas Linux con el objetivo de acorralar y los ordenadores en una Botnet; además de actuar como una clase de conducto para a descargar e instalar Rootkits, conocido cómo B1txor20.

Se le dió el nombre de B1txor20 basado en su forma de propagación haciendo uso del nombre de archivo «B1», el algoritmo cifrado XOR y la longitud de clave del algoritmo RC4 de 20 bytes.

B1txor20
B1txor20

Se propagó por primera vez a través de la vulnerabilidad Log4J, misma que ocurrió el 9 de febrero del 2022 haciendo uso de la técnica conocida cómo tunelización de DNS.

Con el cual se pueden crear canales de comunicación con servidores, ya sea de comando y control (C2) mediante lo que sería la codificación de datos, en consultas y respuesta de DNS.

B1txor20 ha dado a destacar ciertas clases de errores, el primero de estos es que en la actualidad ofrece la posibilidad de de obtener un Shell, poder ejecutar comandos arbitrarios, instalar un rootkit, abrir un proxy SOCKS5 y demás funciones para cargar información confidencial al servidor C2.

Cómo todos los demás malwares existentes que encontramos por internet, B1txor20 también presenta ser una grave amenaza de la cual hasta hace poco no nos habíamos dado de cuenta.

¿Qué ocurre luego de que un ordenador es infectado con el malware B1txor20? 

Una vez que nuestro ordenador se ve comprometido con éxito, este malware procede a hacer uso del túnel DNS para recuperar y además ejecutar los comandos enviados por el mismo servidor.

Luego de todo este proceso, B1txor20 envía la información recolectada los resultados de la ejecución de comandos y cualquier otra información, claro esto después de ocultarla por medio de técnicas de codificación específicas.

Cabe destacar, que luego de haber recibido toda esta información, C2 envía lo que sería la carga útil al lado del bot, esto vendría siendo una clase de respuesta a la solicitud DNS

Es así de esta forma cómo el Bot y C2, logran la comunicación perfecta con ayuda del protocolo DNS; en todo este corto proceso se hace uso de un total de 15 comandos.

Entre todos estos comandos destacan aquellos de la carga de información del sistema, pero no sólo estos, sino muchísimos más, tales cómo: 

  • La ejecución de comandos arbitrarios del sistema
  • La lectura y escritura de archivos
  • El inicio y la detención de servicios proxy y la creación de shells inversos

No hay duda alguna que debido a toda esta información, el malware B1txor20 presenta ser una gran amenaza, pero tranquilo, ya se están tomando las medidas para detenerlo y evitar la fuga de información.