Fejlett rejtőzködés és álhitelesítés
A RESURGE egy 32 bites Linux futtatható modullal dolgozik (libdsupgrade.so), amely képes rootkit-, bootkit-, hátsó ajtó (backdoor)-, dropper- és proxyfunkciók ellátására. Mivel passzív parancs- és vezérlő implantátum, nem indít automatikus hálózati kommunikációt: helyette türelmesen vár egy speciális bejövő TLS-kapcsolatra, amit csak a támadó indít el. Ez a stratégia lényegesen megnehezíti a hálózaton való azonosítást. Működésbe lépve a webfolyamatban beépül a fogadó rétegbe, hogy vizsgálja a beérkező TLS-csomagokat. Amint a támadó ujjlenyomatát felismeri, hitelesítési trükk következik: a támadók egy hamis Ivanti-tanúsítványt is használnak, hogy elkülönítsék magukat az igazi szervertől, méghozzá úgy, hogy azt a rendszer titkosítatlanul küldi – ez védekezési lehetőséget is ad, mivel kiszúrható a forgalomban.
Álcázott forgalom, tartós jelenlét
A hitelesítés után titkosított, Mutual TLS-alapú távoli kapcsolatot létesít a fertőzött eszköz és a támadó, mégpedig elliptikusgörbe-algoritmust használva. A statikus elemzések szerint az implantátum mindehhez a támadó saját titkosítási kulcsát kéri el, sőt egy beépített tanúsítványhitelesítő kulccsal is dolgozik. A kommunikáció emiatt megtévesztően hasonlít a szokványos TLS/SSH adatforgalomhoz, ezzel a trükkel a malware sokáig lappanghat.
Naplóhamisítás és rendszerfájl-átírás
A RESURGE implantátum részét képezi még a liblogblock.so nevű modul, amely főként a naplófájlokat manipulálja, így elrejti a támadó tevékenységét. Emellett a dsmain nevű komponens az extract_vmlinux.sh és BusyBox Unix segédprogramokat használja, hogy rendszerszintű fájlmanipulációt valósítson meg – ez lehetővé teszi a kártevő számára a tartós megmaradást a rendszer újraindítása után is.
Fenyegetés és védekezés
A RESURGE gyakorlatilag alvó állapotba kerülhet, és csak akkor aktiválódik, ha a támadó jelentkezik. Így észrevétlen marad, miközben továbbra is súlyos veszélyt jelent az Ivanti Connect Secure eszközöket használó szervezetek számára. Az amerikai kibervédelmi hatóság azt ajánlja, hogy a rendszergazdák az újonnan közzétett kompromittálódási jeleket (IoC-ket) használják fel a kártevő észleléséhez és eltávolításához.
