Se ha descubierto una nueva variante del malware SysUpdate que apunta a sistemas Linux, con cifrado avanzado para las comunicaciones de comando y control. Investigadores de seguridad de LevelBlue identificaron la amenaza durante una intervención de forensics digitales y desarrollaron una herramienta para descifrar su tráfico. El malware se hace pasar por un servicio del sistema legítimo para evadir la detección.
La variante del malware SysUpdate surgió como una amenaza sofisticada para entornos Linux, detectada por analistas de LevelBlue durante una intervención de Digital Forensics and Incident Response (DFIR). El binario Linux sospechoso apareció en el sistema de un cliente, identificado como un ejecutable ELF64 empaquetado que utiliza un packer ofuscado desconocido sin encabezados de sección, lo que complica el análisis tradicional. nnAl ejecutarse sin argumentos específicos, el malware ejecuta el comando ID de GNU/Linux para recopilar información del sistema y luego inicia comunicaciones de red cifradas a través de múltiples protocolos. El análisis dinámico de LevelBlue y las métricas de detección de endpoints revelaron fuertes indicadores que lo vinculan a una nueva versión de SysUpdate, confirmada con alta confianza mediante ingeniería inversa. El código base en C++ del malware emplea rutinas criptográficas complejas para cifrar el tráfico de comando y control (C2), dificultando la detección basada en red. nnPara contrarrestarlo, los investigadores desarrollaron una herramienta de descifrado utilizando el framework de emulación Unicorn Engine durante el incidente activo. Esta herramienta extrae bytes de código máquina, estructuras de datos globales, valores de heap y estados de registros de CPU de la muestra de malware. Emula la generación de claves a partir de una clave de cifrado en texto plano codificada de forma fija en el heap y descifra bloques de datos de 8 bytes mediante operaciones XOR con un algoritmo desconocido, replicando los mapeos de memoria del malware, incluyendo pila, heap, segmentos de datos y código. nnLa metodología integra Binary Ninja para análisis estático, GDB para depuración dinámica y enlaces del Unicorn Engine basados en Rust para emulación x86-64, evitando la ingeniería inversa completa de la criptografía. Este enfoque permite el descifrado del tráfico C2 para variantes actuales y futuras al extraer nuevas claves de cifrado. nnLevelBlue recomienda a las organizaciones implementar soluciones de detección de endpoints para monitorear ejecutables ELF empaquetados que imitan servicios del sistema, realizar análisis de tráfico de red en busca de patrones cifrados y preparar respuestas a incidentes con capacidades de emulación de malware.