Eine neue Go-basierte Multiplattform-Malware namens „NKAbuse“ ist die erste Malware, die die NKN-Technologie (New Kind of Network) für den Datenaustausch missbraucht und somit eine heimliche Bedrohung darstellt.
NKN ist ein relativ neues dezentrales Peer-to-Peer-Netzwerkprotokoll, das die Blockchain-Technologie nutzt, um Ressourcen zu verwalten und ein sicheres und transparentes Modell für den Netzwerkbetrieb aufrechtzuerhalten.
Eines der Ziele von NKN ist die Optimierung der Datenübertragungsgeschwindigkeit und -latenz im gesamten Netzwerk, was durch die Berechnung effizienter Datenpaket-Reisepfade erreicht werden kann.
Einzelpersonen können am NKN-Netzwerk teilnehmen, indem sie Knoten betreiben, ähnlich dem Tor-Netzwerk. Derzeit gibt es darin etwa 60.710 Knoten.
Diese relativ große Anzahl von Knoten trägt zur Robustheit, Dezentralisierung und Fähigkeit bei, erheblich große Datenmengen zu verarbeiten.
NKAbususe-Details
Kaspersky meldet die Entdeckung einer neuartigen Malware namens NKAbuse, die hauptsächlich auf Linux-Desktops in Mexiko, Kolumbien und Vietnam abzielt.
Eine von Kaspersky entdeckte NKAbuse-Infektion beinhaltet die Ausnutzung einer alten Apache Struts-Schwachstelle (CVE-2017-5638), um ein Finanzunternehmen anzugreifen.
Obwohl die meisten Angriffe auf Linux-Computer abzielen, kann die Malware IoTs gefährden und unterstützt MIPS-, ARM- und 386-Architekturen.
NKAbuse missbraucht NKN, um DDoS-Angriffe (Distributed Denial of Service) zu starten, die sich nur schwer auf eine bestimmte Infrastruktur zurückführen lassen und wahrscheinlich nicht erkannt werden, da sie von einem neuartigen Protokoll stammen, das von den meisten Sicherheitstools nicht aktiv überwacht wird.
„Diese Bedrohung (missbraucht) das öffentliche NKN-Blockchain-Protokoll, um eine große Anzahl von Flooding-Angriffen durchzuführen und als Hintertür innerhalb von Linux-Systemen zu fungieren.“ erklärt Kaspersky
Konkret kommuniziert der Malware-Client über NKN mit dem Bot-Master, um Daten zu senden und zu empfangen. Gleichzeitig verleiht die Fähigkeit, mehrere gleichzeitige Kanäle am Leben zu halten, der Kommunikationsleitung Stabilität.
Zu den vom C2 gesendeten Nutzlastbefehlen gehören HTTP-, TCP-, UDP-, PING-, ICMP- und SSL-Flood-Angriffe, die auf ein bestimmtes Ziel abzielen.
„Alle diese Payloads wurden in der Vergangenheit von Botnets genutzt, sodass die Malware in Kombination mit dem NKN als Kommunikationsprotokoll asynchron darauf warten kann, dass der Master einen kombinierten Angriff startet“, sagt Kaspersky.
Zusätzlich zu den DDoS-Fähigkeiten fungiert NKAbuse auch als Fernzugriffstrojaner (RAT) auf kompromittierten Systemen und ermöglicht seinen Bedienern die Ausführung von Befehlen, die Datenexfiltration und die Erstellung von Screenshots.
Diese Fülle an Funktionen, die NKAbuse äußerst vielseitig und anpassungsfähig machen, ist im DDoS-Botnet-Bereich nicht typisch.
Darüber hinaus macht der Einsatz der Blockchain-Technologie, die die Verfügbarkeit garantiert und die Quelle der Angriffe verschleiert, die Abwehr dieser Bedrohung zu einer großen Herausforderung.