Cuando los actores de amenazas utilizan malware de puerta trasera para obtener acceso a una red, quieren asegurarse de que todo su arduo trabajo no pueda ser aprovechado por grupos competidores o detectado por los defensores. Una contramedida es equipar la puerta trasera con un agente pasivo que permanece inactivo hasta que recibe lo que se conoce en el negocio como un «paquete mágico». El jueves, los investigadores revelaron que una puerta trasera nunca antes vista que silenciosamente se apoderó de docenas de VPN empresariales que ejecutaban Junos OS de Juniper Network ha estado haciendo precisamente eso.
J-Magic, el nombre de seguimiento de la puerta trasera, va un paso más allá para evitar el acceso no autorizado. Después de recibir un paquete mágico oculto en el flujo normal del tráfico TCP, envía un desafío al dispositivo que lo envió. El desafío se presenta en forma de una cadena de texto cifrada utilizando la parte pública de una clave RSA. A continuación, la parte iniciadora debe responder con el texto claro correspondiente, demostrando que tiene acceso a la clave secreta.
Abre sésamo
La puerta trasera liviana también es notable porque residía solo en la memoria, una característica que dificulta la detección para los defensores. La combinación llevó a los investigadores del Black Lotus Lab de Lumin Technology a sentarse y darse cuenta.
«Si bien este no es el primer descubrimiento de malware de paquete mágico, solo ha habido un puñado de campañas en los últimos años», afirman los investigadores. escribió. «La combinación de apuntar a enrutadores Junos OS que sirven como puerta de enlace VPN y desplegar un agente de escucha pasiva solo en memoria, hace que esta sea una confluencia interesante de técnicas dignas de mayor observación».
Los investigadores encontraron J-Magic en VirusTotal y determinó que había operado dentro de las redes de 36 organizaciones. Todavía no saben cómo se instaló la puerta trasera. Así es como funcionó el paquete mágico:
El agente pasivo se implementa para observar silenciosamente todo el tráfico TCP enviado al dispositivo. Analiza discretamente los paquetes entrantes y busca uno de los cinco conjuntos específicos de datos contenidos en ellos. Las condiciones son lo suficientemente oscuras como para mezclarse con el flujo normal de tráfico y los productos de defensa de la red no detectarán una amenaza. Al mismo tiempo, son lo suficientemente inusuales como para que no sea probable encontrarlos en el tráfico normal.
