BlackRota bagdør

BlackRota er en bagdørstrussel skrevet på Go-programmeringssproget. BlackRota udnytter en uautoriseret adgangssårbarhed, der findes i Docker Remote API. Truslen er i stand til at kompromittere både 64-bit og 86-bit arkitekturer, men fungerer kun på Linux-systemer. Et unikt træk ved BlackRota er forhøjelsesniveauet for tilintetgørelse, der er blevet implementeret af de hackere, der er ansvarlige for truslen. Det er yderst sjældent, at malware, der er skrevet i Go, indeholder så intensive tiltrækningsforanstaltninger. Faktisk angiver infosec-forskerne, der analyserede BlackRota, at det er den mest tilslørede Go-malware, de hidtil er stødt på.

Efter infiltrering af sit mål fastslår BlackRota, hvad forskerne kaldte en 'geacon'. Det repræsenterer et fyrtårn, hvorigennem malware kommunikerer med sin Command-and-Control-server for at modtage kommandoer og exfiltrerer indsamlede data. Det særlige fyr, der er implementeret i BlackRota, er tidligere blevet observeret brugt af CobaltStrike, et malware-værktøj, der bruges af trusselsaktører til at sprede ransomware. Blandt de truende funktioner, der er tilgængelige for BlackRota, er muligheden for at udføre shell-kommandoer, browser, uploade og downloade filer fra det kompromitterede system, ændre telefonbøger eller indstille en sleep delay timer.

For at afskrække potentielle forskere fra reverse engineering, anvender BlackRota adskillige fordybelsesteknikker. For det første udnytter det et open source-værktøj til kode skrevet i Go med navnet gobfuscate, hvilket resulterer i, at forskellige elementer i malwareens underliggende kode, såsom globale variabel- og pakkenavne, metodenavne, typenavne og funktionsnavne er skjult bag tilfældigt tegn udskiftninger. Den samme gobfuscate-app er også ansvarlig for kodning af alle strenge af koden med XOR-kryptografisk chiffer. Hver BlackRota-streng afkodes dynamisk under udførelse.

Analysering af Go-skrevet kode giver udfordringer i sig selv på grund af den måde, hvorpå binære filer bygges. Brugen af fuldt statiske biblioteker betyder, at de tilsvarende binære filer når relativt store størrelser. Når forskere åbner en sådan fil i et demonteringsværktøj, præsenteres de for potentielt titusinder af funktioner, som, hvis den tilsvarende symbolik mangler, enormt kan øge den nødvendige tid til at nå acceptabel analyse.