Anteriormente, un tipo de ‘backdoor’ no documentado (puerta trasera por sus siglas en inglés) se ha observado dirigirse a sistemas Linux con el objetivo de acorralar las máquinas dentro de un botnet y actuando como un conductor para descargar e instalar rootkits (un conjunto de software que permanece oculto en un equipo mientras proporciona accesos y control remoto).
El equipo de seguridad de NetLab Qihoo360, lo denominó ‘B1txor20’ “basado en su propagación utilizando el nombre de archivo ‘b1t’, el algoritmo de encriptación de tipo ‘XOR’ y llaves del algoritmo ‘RC4’ de 20 bytes”.
La primera propagación a través de la vulnerabilidad de Log4j se observó el 9 de febrero de este año, el malware aprovechó una técnica llamada túnel DNS que se usa para construir servicios de canales de comunicación y de comando-y-control (C2), a través de la codificación de datos en las consultas y respuestas de DNS.
Aunque ‘B1txor20’ tiene fallos en algunos aspectos, actualmente soporta la habilidad de obtener una terminal, ejecutar comandos arbitrariamente, instalar un rootkit, abrir un proxy SOCKS5 y funciona para enviar información sensible de vuelta al servidor C2.
Una vez que el sistema se compromete, el malware utiliza el túnel DNS para recuperar y ejecutar comandos enviados por el servidor.
“El bot envía la información robada, resultados de la ejecución de comandos y cualquier otra información que necesite ser entregada, después de ocultarse mediante técnicas de codificación específicas, a C2 como una solicitud de DNS” asimismo explicaron los investigadores.
“Después de recibir la solicitud, C2 envía los datos de la aplicación al "Bot" como una respuesta de una solicitud de DNS. En este sentido, el Bot y el servidor C2 logran una comunicación con ayuda del protocolo de DNS”
Un total de 15 comandos son implementados, el principal de ellos es el envío de información de sistema, ejecución arbitraria de comandos, escritura y lectura de artículos, comienzo y detención de servicios de proxy y creación de conexión terminales en reversa.