El jueves 15 de diciembre, el equipo de inteligencia de amenazas de Microsoft ha publicado un informe en el que analiza MCCrash, una botnet multiplataforma para realizar ataques DDoS (denegación de servicio distribuida) a servidores privados del popular videojuego de bloques Minecraft.
MCCrash destaca por su mecanismo de propagación, que le permite infectar dispositivos Windows, Linux e IoT (Internet of Things). Si bien es posible eliminar la infección original, MCCrash es capaz de lograr la persistencia en dispositivos IoT incorrectamente gestionados y así perpetuar el ataque.
Modus operandi
Acorde a la investigación de Microsoft, el vector de ataque inicial se trata de la instalación de herramientas de cracking que permiten supuestamente obtener licencias de Windows. Tales herramientas descargan y lanzan un falso proceso svchost.exe mediante un comando de PowerShell.
Este proceso lanza Malicious.py, un script en Python con toda la lógica de la botnet. Malicious.py realiza un escaneo en busca de dispositivos basados en Linux (Debian, Ubuntu, CentOS y algunos sistemas IoT como Raspbian) y realiza un ataque de diccionario con credenciales por defecto para acceder mediante SSH.
Cuando se encuentra un dispositivo, descarga un fichero Updater.zip de repo[.]ark—event[.]net, que contiene un fichero fuse. A su vez, este fichero descarga una copia de malicious.py en el dispositivo. Tanto el falso svchost.exe como fuse se han compilado con PyInstaller, el cual empaqueta el ejecutable y las librerías de Python necesarias para ejecutar el script malicious.py. Si bien se han compilado para ejecutarse tanto en sistemas Windows como Linux, el payload principal muestra funcionalidades específicas en función del sistema operativo donde se ejecute. En todo caso, se comunica con un servidor de comando y control (C&C o C2) para:
- Establecer una conexión TCP con
repo[.]ark—event[.]neten el puerto 4676. - Enviar una cadena de conexión inicial.
- Recibir una clave del servidor para cifrar y descifrar con el algoritmo simétrico de Fernet.
- Enviar información de versión del sistema operativo al servidor.
- Continuar recibiendo comandos cifrados del servidor.
De los comandos de DDoS, destaca particularmente ATTACK_MCCRASH, que envía la cadena ${env:<un payload aleatorio de tamaño específico>:-a} como nombre de usuario para agotar los recursos del servidor y colgarlo. El uso de la variable de entorno env desencadena el uso de la librería Log4j, pudiendo causar un consumo anómalo de los recursos del sistema. Aunque este exploit no guarda relación con la vulnerabilidad Log4Shell, sí resulta ser un método muy eficiente de denegación de servicio distribuida.
Impacto
La mayor parte de las infecciones por MCCrash identificadas en el informe proceden de Rusia, aunque también hay víctimas en Kazajistán, Uzbekistán, Ucrania, Bielorrusia, Chequia, Italia, India e Indonesia:
Las investigaciones también muestran que el malware ha sido codificado específicamente para atacar a una versión concreta de servidores de Minecraft, la 1.12.2. Sin embargo, el método de ataque puede afectar a versiones entre la 1.7.2 y la 1.18.2. A partir de la versión 1.19, lanzada anteriormente en 2022, el protocolo para servidores de Minecraft ha sufrido un cambio que impide que algunos de los comandos funcionen.
Los dispositivos que no se han actualizado a la versión 1.19 o posteriores y que, por tanto, son susceptibles de participar en la botnet, se concentran en Estados Unidos.
Hispasec recomienda actualizar los servidores de Minecraft para beneficiarse de las mejoras de seguridad y no utilizar cracks, ya que a menudo resultan ser una fuente de malware.
Más información
- https://www.microsoft.com/en-us/security/blog/2022/12/15/mccrash-cross-platform-ddos-botnet-targets-private-minecraft-servers/
- https://thehackernews.com/2022/12/minecraft-servers-under-attack.html
Deja una respuesta