Neue Malware nutzt NKN-Blockchain-Technologie für DDoS-Angriffe
Eine neue Art von Bedrohung namens NKAbuse benutzt New Kind of Network (NKN), ein spezielles Verbindungsprotokoll, das auf verschiedenen Plattformen zur Verfügung steht. Dieses Protokoll funktioniert als dezentrales Peer-to-Peer-Netzwerk für die Kommunikation zwischen den betroffenen Systemen.
Kaspersky berichtet über eine neue Malware: Das russische Cybersicherheitsunternehmen nennt sie NKAbuse, da sie die NKN-Technologie nutzt, um Daten zwischen Peers auszutauschen. Die Malware ist hochentwickelt und besitzt sowohl Flooder- als auch Backdoor-Funktionen.
NKN, ein Netzwerk mit über 62.000 Knoten, wird als Software-Overlay-Netzwerk beschrieben, das auf dem aktuellen Internet basiert. Es ermöglicht Usern, ungenutzte Bandbreite zu teilen und dafür Belohnungen in Form von Token zu verdienen. Über dem bestehenden TCP/IP-Protokoll ist eine Blockchain-Ebene eingefügt.
NKAbuse verwendet die Blockchain-Technologie, um Distributed-Denial-of-Service (DDoS)-Angriffe auszuführen und als Implantat in kompromittierten Systemen zu agieren. Sie nutzt das NKN-Protokoll, um mit dem Bot-Master zu kommunizieren und Befehle zu empfangen und zu senden. Die Malware ist in der Programmiersprache Go implementiert und zielt hauptsächlich auf Linux-Systeme aus dem IoT-Bereich ab. Als primäre Zielregionen wurden aktuell Kolumbien, Mexiko und Vietnam identifiziert.
Es gibt Hinweise darauf, dass die Malware eine kritische Sicherheitslücke in Apache Struts ausnutzt, um in Systeme einzudringen. Nach erfolgreicher Ausnutzung der Lücke lädt sie ein Implantat von einem entfernten Server herunter. Auf dem Server, der die Malware beherbergt, befinden sich acht verschiedene Versionen von NKAbuse, die verschiedene CPU-Architekturen unterstützen: i386, arm64, arm, amd64, mips, mipsel, mips64 und mips64el. Interessanterweise verbreitet sich die Malware nicht von selbst. Vielmehr benötigt einen initialen Zugangsweg, beispielsweise das Ausnutzen von Sicherheitslücken.
„NKAbuse nutzt Cron-Jobs, um Neustarts zu überleben“, so Kaspersky. „Um das zu erreichen, muss er root sein. Er prüft, ob die aktuelle Benutzer-ID 0 ist, und wenn ja, analysiert er die aktuelle Crontab und fügt sich bei jedem Neustart selbst hinzu.“
Die Malware verfügt über Backdoor-Funktionen, die es ihr ermöglichen, regelmäßig Informationen an den Bot-Master zu senden, Screenshots zu erstellen, Dateioperationen durchzuführen und Systembefehle auszuführen.
Kaspersky hebt hervor, dass diese Malware speziell für die Integration in ein Botnetz entwickelt wurde, sich aber auch als Backdoor in einem einzelnen System anpassen kann. Die Verwendung der Blockchain-Technologie sorgt dafür, dass sich dieses Botnetz im Laufe der Zeit stetig ausbreiten kann – ohne einen klar identifizierbaren zentralen Controller.
Zheng „Bruce“ Li, Mitbegründer von NKN, äußerte seine Überraschung über die Nutzung von NKN auf diese Weise. „Wir haben NKN entwickelt, um eine echte Peer-to-Peer-Kommunikation zu ermöglichen, die sicher, privat, dezentralisiert und massiv skalierbar ist. Wir versuchen, über den Kaspersky-Report mehr über die Malware zu lernen, um das Internet gemeinsam sicher und neutral zu machen.“