Los hackers chinos usan DNS sobre HTTPS para la comunicación de malware de Linux

El vínculo entre ChamelGang y el nuevo malware de Linux se basa en un dominio previamente asociado con el actor de amenazas y una herramienta de elevación de privilegios personalizada observada por Positive Technologies en campañas anteriores de ChamelGang.

DNS sobre HTTPS para la comunicación de malware
El protocolo DNS (sistema de nombres de dominio) es utilizado por software y sistemas operativos para resolver nombres de host legibles por humanos en direcciones IP, que luego se utilizan para realizar conexiones de red.

Sin embargo, las consultas DNS se envían como texto sin cifrar y sin cifrar, lo que permite a las organizaciones, ISP y otros supervisar las solicitudes DNS.

Como esto se considera un riesgo para la privacidad y permite a los gobiernos censurar Internet, se creó un nuevo protocolo DNS llamado DNS-over-HTTPS para cifrar las consultas DNS para que no puedan ser espiadas.

Sin embargo, esta es una espada de doble filo, ya que el malware puede usarla como un canal de comunicación cifrado efectivo, lo que dificulta que el software de seguridad supervise la comunicación de red maliciosa.

En el caso de ChamelDoH, DNS-over-HTTPS proporciona comunicación cifrada entre un dispositivo infectado y el servidor de comando y control, lo que hace que las consultas maliciosas sean indistinguibles del tráfico HTTPS normal.

Además, DoH puede ayudar a evitar los servidores DNS locales mediante el uso de servidores compatibles con DoH proporcionados por organizaciones acreditadas, lo que no se vio en este caso.

Finalmente, debido a que las solicitudes de DNS utilizan servidores DoH legítimos de Google y Cloudflare, bloquearlos es prácticamente imposible sin afectar el tráfico legítimo.

ChamelDoH utiliza dos claves almacenadas en su configuración JSON, "ns_record" y "doh", para obtener nombres de host C2 y una lista de proveedores legítimos de la nube DoH que pueden ser abusados para realizar consultas DoH.


Todas las comunicaciones de malware se cifran utilizando AES128 y una codificación base64 modificada que contiene sustitutos de caracteres no alfanuméricos. Los datos transmitidos se anexan como nombres de host a los servidores de comando y control de malware enumerados.

Esta modificación permite que el malware emita solicitudes TXT para dominios que contienen las comunicaciones codificadas del servidor de comando y control (C2), ocultando la naturaleza de esas solicitudes y reduciendo la probabilidad de ser detectado.

Por ejemplo, al consultar el registro TXT, una consulta DoH del malware usaría <encoded_data>.ns2.spezialsec[.]. .com. El servidor de nombres malicioso que recibe la consulta extraería y descifraría la parte codificada para recibir los datos exfiltrados del dispositivo infectado.

El C2 respondería con un registro TXT codificado que contiene los comandos que el malware debe ejecutar en el dispositivo infectado.


Tras la ejecución, el malware recopilará datos básicos sobre su host, incluido el nombre, la dirección IP, la arquitectura de la CPU y la versión del sistema, y generará una identificación única.

Los investigadores de Stairwell descubrieron que ChamelDoH admite los siguientes comandos que sus operadores pueden emitir de forma remota a través de los registros TXT recibidos en solicitudes DNS sobre HTTPS:

• run – Ejecutar un comando de archivo/shell
• sleep – Establecer el número de segundos hasta el próximo check-in
• wget – Descargar un archivo desde una URL
• cargar: leer y cargar un archivo
• descargar – Descargar y escribir un archivo
• rm – Eliminar un archivo
• cp – Copiar un archivo a una nueva ubicación
• cd – Cambiar el directorio de trabajo

El análisis de Stairwell mostró que ChamelDoH se cargó por primera vez en VirusTotal en diciembre de 2022.

En el momento de escribir esto, no está marcado como malicioso por ninguno de los motores AV de la plataforma.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login