Er is een voorheen ongedocumenteerde achterdeur waargenomen die gericht was op Linux-systemen met als doel de machines in een botnet te stoppen en als kanaal te fungeren voor het downloaden en installeren van rootkits.
Het Netlab-beveiligingsteam van Qihoo 360 noemde het B1txor20 “gebaseerd op de verspreiding ervan met behulp van de bestandsnaam ‘b1t’, het XOR-coderingsalgoritme en de sleutellengte van het RC4-algoritme van 20 bytes.”
De malware, die voor het eerst werd waargenomen via de Log4j-kwetsbaarheid op 9 februari 2022, maakt gebruik van een techniek genaamd DNS-tunneling om communicatiekanalen te bouwen met command-and-control (C2) -servers door gegevens te coderen in DNS-query’s en -antwoorden.
B1txor20, hoewel in sommige opzichten ook bugs, ondersteunt momenteel de mogelijkheid om een shell te verkrijgen, willekeurige commando’s uit te voeren, een rootkit te installeren, een SOCKS5-proxyen functies om gevoelige informatie terug te uploaden naar de C2-server.
Zodra een machine met succes is gecompromitteerd, gebruikt de malware de DNS-tunnel om opdrachten van de server op te halen en uit te voeren.
“Bot stuurt de gestolen gevoelige informatie, de resultaten van de uitvoering van de opdracht en alle andere informatie die moet worden afgeleverd, nadat deze is verborgen met behulp van specifieke coderingstechnieken, als een DNS-verzoek naar C2”, zo legden de onderzoekers uit.
“Na ontvangst van het verzoek stuurt C2 de payload naar de Bot-kant als reactie op het DNS-verzoek. Op deze manier bereiken Bot en C2 communicatie met behulp van het DNS-protocol.”
Er zijn in totaal 15 commando’s geïmplementeerd, waaronder het uploaden van systeeminformatie, het uitvoeren van willekeurige systeemcommando’s, het lezen en schrijven van bestanden, het starten en stoppen van proxyservices en het maken van reverse shells.
