openssh-backdoor-galaxy-1

Aunque Linux es un sistema operativo mucho más seguro en comparación con Windows, no es impermeable a las configuraciones erróneas y a las infecciones de malware.

En la última década, el número de familias de malware dirigidas a Linux ha aumentado, pero el número total de amenazas sigue siendo de órdenes de magnitud por debajo de los números de malware que atacan a los sistemas Windows.

Este menor número de amenazas ha dado lugar a que las empresas de ciberseguridad presten mucha menos atención al ecosistema de malware de Linux de la que prestan normalmente a su homólogo de Windows.

Por lo tanto, no es de extrañar que algunas familias de malware de Linux hayan sido descubiertas después de operar sin ser vistas durante más de cuatro años.

En un informe publicado ayer por la empresa de ciberseguridad ESET, la compañía detalla 21 “nuevas” familias de malware Linux. Todos funcionan de la misma manera, como versiones troyanizadas del cliente OpenSSH.

Se desarrollan como herramientas de segunda etapa que se despliegan en esquemas de “botnet” más complejos. Los atacantes comprometerían un sistema Linux, generalmente un servidor, y luego reemplazarían la instalación legítima de OpenSSH con una de las versiones troyanizadas.

ESET dijo que “18 de las 21 familias tenían una función de robo de credenciales, lo que hacía posible robar contraseñas y/o claves” y “17 de las 21 familias tenían un modo de puerta trasera, lo que permitía al atacante una forma sigilosa y persistente de conectarse de nuevo a la máquina comprometida”.

Estas variedades de malware no son “nuevas”, per se. Los investigadores de ESET admitieron que no descubrieron estas cepas de primera mano. Ese honor va a los creadores de otro malware de Linux llamado Windigo (también conocido como Ebury).

ESET dice que mientras analizaban la red de bots Windigo y su puerta trasera central de Ebury, encontraron que Ebury tenía un mecanismo interno que buscaba otras puertas traseras OpenSSH instaladas localmente.

La forma en que el equipo de Windigo hizo esto, dijo ESET, fue usando un script Perl que escaneó 40 firmas de archivos (hashes) .

“Cuando examinamos estas firmas, nos dimos cuenta rápidamente de que no teníamos muestras que coincidieran con la mayoría de las puertas traseras descritas en el guión”, dijo Marc-Etienne M. Léveillé, analista de malware de ESET.

“Los operadores de malware tenían en realidad más conocimiento y visibilidad de las puertas traseras SSH que nosotros”, añadió.

Léveillé dice que ESET ha estado usando la misma lista de 40 firmas de archivos para buscar esas familias de malware durante los últimos años. Algunas de las 40 cepas originales nunca han sido detectadas antes, probablemente porque sus creadores se han pasado a otras cepas de malware, pero 21 de esas puertas traseras troyanizadas de OpenSSH han continuado utilizándose en los años siguientes.

ESET ha publicado un informe de 53 páginas que detalla cada una de estas 21 cepas. Algunos de estos tipos de malware son realmente simples, pero otros también son muy complejos, y lo más probable es que sean obra de desarrolladores de malware experimentados.

Los administradores de servidores Linux pueden usar los indicadores de compromiso (IOCs) incluidos en este informe para escanear sus sistemas en busca de estas cepas.

El informe no entra en detalles sobre cómo los operadores de botnets plantan estas versiones OpenSSH en hosts infectados. Pero si hemos aprendido algo de los informes anteriores sobre las operaciones de malware de Linux es que los actores de las amenazas suelen confiar en las mismas técnicas de siempre para afianzarse en los sistemas Linux:

  • Ataques de fuerza bruta o de diccionario que intentan adivinar contraseñas SSH. El uso de contraseñas fuertes o únicas, o un sistema de filtrado de IP para los inicios de sesión SSH debería prevenir este tipo de ataques.
  • Explotación de vulnerabilidades en aplicaciones que se ejecutan sobre el servidor Linux (por ejemplo, aplicaciones web, CMS, etc.). Si la aplicación/servicio ha sido mal configurada con acceso root, o si el atacante explota un fallo de escalado de privilegios, un fallo inicial del plugin de WordPress puede ser fácilmente escalado al sistema operativo subyacente. Manteniendo todo al día, tanto el sistema operativo como las aplicaciones que se ejecutan sobre él deberían evitar este tipo de ataques.

A menos que los usuarios de Linux se esfuercen por configurar mal sus servidores, por conveniencia, deberían estar a salvo de la mayoría de estos ataques.

 

Fuente: Original | maslinux

¿Quién está en línea?

Hay 23692 invitados y ningún miembro en línea