Sin embargo, los ataques de diccionario SSH (en los que el atacante probará pares predefinidos de nombres de usuario y contraseñas) no son nada nuevo y también son fáciles de defender siguiendo las mejores prácticas de seguridad, como el uso de autenticación basada en claves SSH y la desactivación de la autenticación de contraseña. Esto significa que los servidores comprometidos por NoaBot probablemente sean fáciles de conseguir desde una perspectiva de seguridad y no sería sorprendente que ya estuvieran infectados con otro malware.
El escáner SSH de NoaBot tiene una firma clara porque cuando una dirección IP acepta una conexión SSH, el cliente de la botnet envía el mensaje «hola». Este no es un comando SSH válido y no existe ninguna razón práctica para enviarlo, por lo que puede usarse para crear una firma de firewall.
Otras modificaciones realizadas a NoaBot implican cambiar el compilador de GCC a uClib para que su código binario sea significativamente diferente de Mirai y, por lo tanto, evadir las firmas de detección de Mirai existentes, y agregar argumentos de línea de comando que permitan diferentes funcionalidades. Por ejemplo, el bot puede agregar una clave controlada por el atacante en las claves autorizadas de SSH para garantizar la persistencia incluso si la autenticación basada en contraseña está deshabilitada, actúa como una puerta trasera al descargar e instalar archivos binarios adicionales y agrega una entrada crontab para garantizar que se inicie después reiniciar.
La bandera de la línea de comando para este mecanismo de persistencia se llama «noa», e inspira el nombre de la botnet. Sin embargo, los investigadores encontraron firmas de detección en los motores antivirus para el prefijo «noa-«, lo que sugiere que podría ser común.
Modificaciones de Cryptominer y conexión P2PInfect
El componente de criptominería es XMRig, un programa de minería de criptomonedas de código abierto y ampliamente utilizado que tiene usos legítimos pero que también es popular entre los atacantes. Según los investigadores de Akamai, los creadores de NoaBot también realizaron modificaciones avanzadas en el código XMRig para ocultar y cifrar su configuración, en particular la dirección IP que sirve como grupo de minería donde los atacantes recopilan la criptomoneda generada.
«Creemos que los actores de amenazas eligieron ejecutar su propio grupo privado en lugar de uno público, eliminando así la necesidad de especificar una billetera (¡su grupo, sus reglas!)», dijeron los investigadores. “Sin embargo, en nuestras muestras, observamos que los dominios de los mineros no se resolvían con el DNS de Google, por lo que realmente no podemos probar nuestra teoría ni recopilar más datos del grupo, ya que los dominios que tenemos ya no se pueden resolver. No hemos visto ningún incidente reciente que haga caer al minero, por lo que también podría ser que los actores de la amenaza decidieran partir hacia pastos más verdes”.