Dacls, il RAT attivo su Linux e su Windows

20/12/2019

dacls Linux malware windows

 

I ricercatori di Netlab360, hanno individuato ed analizzato un Trojan di tipo RAT, precedentemente sconosciuto, battezzato con il nome di “Dacls” e distribuito dal gruppo APT Lazarus. Dacls è in grado di compromettere sia client Linux che client Windows.

I ricercatori hanno denominato il Trojan, Win32.Dacls o Linux.Dacls a seconda della piattaforma compromessa.

Modalità di infezione

Dacls è un nuovo tipo di RAT che, come detto, è destinato sia all’ambiente Windows che a Linux. Le sue funzioni sono modulari, il protocollo di comunicazione verso i server C&C utilizza la crittografia TLS e RC4, il file di configurazione utilizza la crittografia AES e supporta l’aggiornamento dinamico delle istruzioni verso i C&C. Il modulo plug-in Win32.Dacls viene caricato in modo dinamico tramite un URL remoto e la versione Linux del plug-in viene compilata direttamente nel Bot program.

La ricerca ha evidenziato le modalità operative per la piattaforma Linux, tuttavia la logica e le istruzioni sono simili anche per i sistemi Windows.

La comunicazione Linux.Dacls Bot e i server C&C è principalmente suddivisa in tre fasi e utilizza algoritmi di crittografia TLS e RC4 per garantire la sicurezza della comunicazione dei dati:

  • La prima fase stabilisce una connessione TLS;
  • La seconda fase consiste nel concordare il processo di autenticazione (Malware Beaconing);
  • La terza fase invia i dati crittografati RC4 tramite Bot.

Le istruzioni inviate e ricevute dai server C&C servono a compilare una serie di plugin, ognuno dei quali svolge una funzione differente. Ogni plug-in ha la propria configurazione corrispondente, che viene salvata nel file di configurazione del bot al percorso $HOME/.memcache. Quando il plug-in viene inizializzato, verranno caricate le informazioni di configurazione:

  • Plugin Bash: Il plug-in Bash riceve ed esegue dei comandi di sistema impartiti dal server C&C;
  • Plugin file: La funzione principale del plugin File è la gestione dei file. Oltre a supportare operazioni di lettura, scrittura, eliminazione e ricerca di file, il bot può anche scaricare file da un server di download designato.
  • Plugin di processo: La funzione principale è la gestione dei processi, tra cui: start/stop dei processi, l’ottenimento del PID e del PPID del processo corrente e le informazioni sull’elenco dei processi.
  • Plug-in di prova: La funzione principale è testare la connettività di rete collegando l’indirizzo IP e la porta specificati dal server C&C.
  • Plugin P2P: Il plug-in Reverse P2P è in realtà un proxy verso il server C&C.
  • Plugin LogSend: Il plug-in LogSend include principalmente tre funzioni:
    • testare la connessione al server Log,
    • scansionare casualmente la porta 8291 della rete e riferire al server Log,
    • eseguire comandi di sistema che impiegano molto tempo e quindi riportare l’output della console al server Log in tempo reale.