Hadooken

De CiberWiki

Hadooken es un malware reciente que se dirige a servidores WebLogic, un software utilizado por grandes empresas para manejar aplicaciones importantes. Cuando Hadooken infecta un servidor, descarga y ejecuta otros tipos de malware, incluyendo un minero de criptomonedas y una amenaza adicional llamada Tsunami. Su principal objetivo es tomar control del servidor para minar criptomonedas de manera ilegal y potencialmente causar daños adicionales al sistema. Este malware aprovecha configuraciones débiles y contraseñas inseguras para ingresar al sistema y luego se propaga para afectar otras partes de la red, mientras intenta ocultar sus huellas eliminando registros de actividad.

Si lo describieramos de una manera mas tecnica podríamos decir que Loader Hadooken es un exploit avanzado para sistemas Windows que permite ejecutar código arbitrario en el contexto del kernel al aprovechar vulnerabilidades en el manejo de memoria y la interacción con drivers del sistema. Este exploit carga un shellcode en el espacio del kernel usando técnicas como la asignación de memoria con ExAllocatePoolWithTag y la creación de un hilo del sistema con PsCreateSystemThread. A través de la comunicación con un driver de dispositivo mediante DeviceIoControl, el código ejecutado en el kernel puede eludir las restricciones de seguridad y realizar acciones maliciosas, lo que lo convierte en una herramienta potente para los atacantes que buscan comprometer la integridad del sistema.

Funcionamiento

Hadooken es un sofisticado malware diseñado para atacar servidores WebLogic que operan en entornos Linux. Su funcionamiento implica una serie de pasos cuidadosamente orquestados que permiten al atacante comprometer, controlar y explotar el servidor objetivo.

  1. Acceso Inicial:
    • Explotación de Vulnerabilidades: El malware Hadooken comienza su ataque aprovechando vulnerabilidades en el servidor WebLogic, específicamente mediante configuraciones débiles o contraseñas comprometidas. Esto permite al atacante ejecutar código de forma remota en el servidor.
  2. Despliegue del Malware:
    • Descarga de Payload: Una vez que el acceso inicial está asegurado, el atacante descarga el payload principal del malware. Hadooken utiliza dos métodos para la descarga: un script en Python (y) y un script en shell (c). Ambos scripts están diseñados para intentar ejecutar el malware en caso de que uno de ellos falle.
    • Archivos Maliciosos: Hadooken se compone de dos archivos ELF maliciosos: un criptominer y el malware Tsunami. El criptominer se guarda en rutas como /usr/bin/crondr, /usr/bin/bprofr, y /mnt/-java, y está diseñado para ejecutarse de forma continua y realizar minería de criptomonedas utilizando los recursos del servidor comprometido. El malware Tsunami se almacena en directorios temporales con nombres aleatorios.
  3. Persistencia y Ejecución:
    • Cron Jobs: Para garantizar la persistencia, Hadooken crea múltiples trabajos cron con nombres aleatorios y en diferentes frecuencias (horarios, diarios, semanales, mensuales). Estos trabajos cron están configurados para ejecutar los componentes maliciosos del malware de manera periódica.
    • Mascaramiento: Hadooken utiliza técnicas de mascaramiento para ocultar su actividad. Por ejemplo, renombra el criptominer a -bash para evitar la detección y su ejecución está programada a través de cron jobs.
  4. Propagación y Movilidad Lateral:
    • Acceso a SSH: Hadooken explora directorios que contienen datos de SSH, como credenciales de usuario y secretos de host. Utiliza esta información para intentar moverse lateralmente dentro de la red y comprometer otros servidores que también ejecuten WebLogic.
    • Ejecución Remota: El malware busca servidores conocidos y utiliza las credenciales SSH recopiladas para acceder a ellos y desplegar su carga maliciosa, facilitando así la propagación del ataque.
  5. Evasión de Defensa:
    • Eliminación de Registros: Hadooken incluye mecanismos para borrar los registros del sistema después de ejecutar actividades maliciosas. Esto minimiza la posibilidad de detección por parte de los administradores del sistema o herramientas de monitoreo.
    • Codificación y Enmascaramiento: Los archivos y comandos maliciosos se codifican utilizando técnicas como base64 para evitar la detección durante el análisis estático.
  6. Impacto y Actividad de Criptominería:
    • Minería de Criptomonedas: El componente criptominer de Hadooken consume recursos del servidor para minar criptomonedas, lo que puede causar un impacto significativo en el rendimiento del servidor y un aumento en los costos operativos.
    • Uso Potencial de Tsunami: Aunque no se ha observado la actividad del malware Tsunami durante los ataques actuales, podría ser activado en etapas posteriores del ataque para realizar otras acciones maliciosas, como la creación de puertas traseras o la explotación de otras vulnerabilidades.

Impacto y consecuencias

Hadooken es un malware altamente sofisticado que afecta a servidores WebLogic en entornos Linux. Su impacto y las consecuencias de su actividad son significativos y pueden afectar tanto la operación de los servidores comprometidos como la infraestructura de la red en general. A continuación, se detallan los impactos y consecuencias técnicas que Hadooken puede tener:

1. Consumo de Recursos:

  • Minería de Criptomonedas: Uno de los principales componentes del malware Hadooken es un criptominer. Este criptominer utiliza intensamente los recursos del servidor comprometido (CPU, memoria y ancho de banda) para realizar la minería de criptomonedas. El alto consumo de recursos puede degradar significativamente el rendimiento del servidor, lo que lleva a una reducción en la capacidad de procesamiento y a una posible interrupción de los servicios proporcionados por el servidor.
  • Costo Operativo Incrementado: El uso intensivo de recursos también puede aumentar los costos operativos asociados con el servidor, ya que se requiere más energía para ejecutar las operaciones de minería y mantener el hardware en funcionamiento.

2. Impacto en la Disponibilidad del Servidor:

  • Rendimiento Degradado: El criptominer, al consumir grandes cantidades de recursos, puede afectar la capacidad del servidor para ejecutar sus aplicaciones legítimas. Esto puede llevar a tiempos de inactividad, lentitud en el procesamiento de transacciones y una degradación general del servicio.
  • Interrupciones del Servicio: En casos extremos, el servidor puede experimentar bloqueos o caídas debido a la sobrecarga de trabajo impuesta por el malware, lo que resulta en una interrupción de los servicios críticos que el servidor está diseñado para proporcionar.

3. Seguridad y Evasión:

  • Evasión de Detección: Hadooken está diseñado para evadir mecanismos de detección y análisis de seguridad. Utiliza técnicas como la codificación en base64 y el uso de cron jobs con nombres aleatorios para ocultar sus actividades maliciosas. La eliminación de registros y el enmascaramiento de los archivos del malware dificultan la tarea de los administradores de seguridad para detectar y responder al ataque.
  • Explotación de Vulnerabilidades: La explotación de vulnerabilidades en WebLogic y configuraciones débiles permite a los atacantes obtener acceso no autorizado y ejecutar código malicioso en el servidor. Esto puede llevar a una explotación continua de las vulnerabilidades si no se corrige adecuadamente.

4. Movilidad Lateral y Expansión de la Compromiso:

  • Propagación del Malware: Hadooken explora y utiliza datos de SSH para moverse lateralmente dentro de la red. Al comprometer otros servidores y sistemas conectados, el malware puede expandir su alcance y causar daños adicionales en la infraestructura de la red.
  • Creación de Puertas Traseras: La capacidad de Hadooken para crear y ejecutar scripts maliciosos en servidores comprometidos puede permitir a los atacantes establecer puertas traseras y mantener el acceso a la red incluso después de que se descubra y elimine el malware inicial.

5. Potencial de Uso de Malware Adicional:

  • Uso de Tsunami: Aunque la actividad del malware Tsunami aún no se ha observado, este componente puede ser activado en etapas posteriores del ataque. Tsunami es conocido por sus capacidades de escaneo y explotación de redes, lo que podría llevar a una mayor explotación de la red y al lanzamiento de ataques adicionales.
  • Integración con Ransomware: Las referencias a otros ransomware en el análisis del malware sugieren que Hadooken podría integrarse o colaborar con campañas de ransomware en el futuro, aumentando el riesgo de pérdida de datos y extorsión financiera.

6. Impacto en la Integridad y Confidencialidad de los Datos:

  • Riesgo de Exfiltración de Datos: Aunque Hadooken se enfoca principalmente en la minería de criptomonedas, la capacidad del malware para moverse lateralmente y recopilar información puede llevar a la exfiltración de datos sensibles si los atacantes utilizan el malware para obtener acceso a datos críticos almacenados en el servidor o en la red.

7. Costo de Respuesta y Recuperación:

  • Recuperación del Sistema: La eliminación de Hadooken y la restauración de la normalidad en el servidor comprometido pueden requerir un esfuerzo considerable. Esto incluye la identificación y eliminación de los componentes del malware, la restauración de los sistemas afectados, y la aplicación de parches y medidas correctivas.
  • Revisión de Seguridad: Después de un ataque, es probable que se necesite una revisión completa de la seguridad para identificar y corregir las vulnerabilidades que permitieron el compromiso inicial. Esto puede implicar la implementación de nuevas medidas de seguridad, actualizaciones de software y auditorías de configuración.

Origen y motivación

Hadooken es un malware que se originó con la intención de explotar vulnerabilidades en servidores WebLogic, especialmente en entornos Linux, para instalar y ejecutar criptomineros y otros componentes maliciosos. Su nombre, que alude al ataque "surge fist" de la serie Street Fighter, sugiere una motivación para causar un impacto significativo y dañino similar al de un golpe devastador en el juego. Su principal objetivo es aprovechar la capacidad de procesamiento del servidor comprometido para minar criptomonedas de manera encubierta, lo que permite a los atacantes obtener ganancias financieras sin el conocimiento de los administradores del sistema. Además, Hadooken puede facilitar la expansión del ataque a través de la red, empleando técnicas avanzadas para evadir la detección y mantener el acceso al sistema comprometido.