Una herramienta de monitoreo de servidores de código abierto, legítima y ampliamente utilizada, ha sido reutilizada por atacantes para obtener control remoto completo de sistemas comprometidos.
Según los hallazgos del Centro de Ciberdefensa de Ontinue, la actividad involucra a Nezha, una plataforma de monitoreo popular que ofrece a los administradores visibilidad del sistema y funciones de gestión remota en entornos Windows y Linux.
En esta campaña, Nezha es desplegada como una herramienta de acceso remoto (RAT) en la fase de post-explotación, en lugar de ser un malware tradicional. Dado que el software es legítimo y se mantiene activamente, registra cero detecciones en VirusTotal, donde 72 proveedores de seguridad no detectaron nada sospechoso. El agente se instala de forma silenciosa y solo se hace visible cuando los atacantes comienzan a emitir comandos, lo que hace ineficaz la detección tradicional basada en firmas.
Mayuresh Dani, gerente de investigación de seguridad en Qualys, señala que esta “instrumentalización de Nezha refleja una estrategia de ataque moderna emergente donde los actores de amenazas abusan sistemáticamente del software legítimo para lograr persistencia y movimiento lateral mientras evaden las defensas basadas en firmas.” En redes donde esta herramienta de monitoreo es conocida, los equipos de defensa podrían incluso pasar por alto esta actividad anómala.
Cómo se Abusa de Nezha
Nezha fue desarrollada originalmente para la comunidad de TI china y ha ganado popularidad en GitHub. Su arquitectura se basa en un panel central que administra agentes ligeros instalados en los sistemas monitoreados.
Esos agentes admiten:
- Ejecución de comandos.
- Transferencia de archivos.
- Sesiones de terminal interactivas.
Estas capacidades son útiles para los administradores, pero igualmente atractivas para los atacantes.
Los investigadores de Ontinue identificaron el abuso durante un compromiso de respuesta a incidentes, donde un script bash intentó desplegar el agente Nezha con infraestructura controlada por el atacante. El script incluía mensajes de estado en chino y detalles de configuración que apuntaban a un panel remoto alojado en infraestructura de Alibaba Cloud, ubicada en Japón. Aunque el idioma sugiere un autor de habla china, Ontinue advirtió que tales indicadores son fáciles de falsificar y no deben usarse para la atribución.
Privilegios Elevados por Diseño
En pruebas controladas, Ontinue confirmó que el agente Nezha se ejecuta con privilegios elevados por diseño.
- En sistemas Windows, proporcionó una sesión interactiva de PowerShell como NT AUTHORITY\SYSTEM.
- En implementaciones de Linux, resultó en acceso root.
No se requirió ninguna explotación o escalada de privilegios adicional. “Aunque no es malicioso por diseño, ayuda a los actores de amenazas a reutilizar el uso de esta herramienta legítima, reducir el tiempo de desarrollo para ejecutar comandos remotos de manera confiable, acceder a archivos remotos y acceder al sistema comprometido usando shells interactivos,” comentó Dani.
Una revisión del panel expuesto asociado con el incidente sugirió que cientos de endpoints podrían haberse conectado, lo que resalta la escala que puede alcanzar tal abuso cuando se compromete un único secreto compartido.
Ontinue enfatizó que distinguir la intención maliciosa del uso legítimo sigue siendo un desafío persistente. Como señaló Dani, “debemos dejar de ver las herramientas como maliciosas o benignas, y en su lugar centrarnos en los patrones de uso y el contexto.”
Conclusión
El uso de herramientas legítimas para propósitos maliciosos es una táctica creciente en el panorama de amenazas. La detección de este tipo de ataques requiere que los equipos de seguridad pasen de la detección basada en firmas a un enfoque más contextual y conductual. Monitorear los patrones de uso y el comportamiento inusual de herramientas de administración de sistemas, incluso aquellas consideradas “confiables”, es crucial para identificar y responder a los actores de amenazas que abusan de la confianza inherente de las herramientas legítimas.
Referencias
- Ontinue’s Cyber Defense Center findings.
- Mayuresh Dani, Security Research Manager at Qualys.
- Artículo relacionado: Attacker “Patches” Vulnerability Post Exploitation to Lock Out Competition.