ESET descubre 21 nuevas familias de malware para Linux

Aunque Linux es un sistema operativo mucho más seguro en comparación con Windows, no es inmune a configuraciones erróneas e infecciones de malware.

Durante la última década, la cantidad de familias de malware dirigidas a Linux ha crecido, pero la cantidad total de amenazas sigue siendo de una magnitud mayor a la de los números de malware informados que atacan los sistemas Windows.

Esta menor cantidad de amenazas ha dado lugar a que las empresas de seguridad cibernética presten mucha menos atención al ecosistema de malware de Linux de lo que normalmente hacen con Windows.

Por lo tanto, no es de extrañar que algunas familias de malware de Linux solo se hayan descubierto después de haber pasado desapercibido durante más de cuatro años.

En un informe publicado ayer por la firma de seguridad cibernética ESET, detallan 21 “nuevas” familias de malware de Linux. Todas operan de la misma manera, como las versiones troyanas del cliente OpenSSH.

Se desarrollan como herramientas de segunda etapa que se implementar en esquemas de “botnet” más complejos. Los atacantes podrían comprometer un sistema Linux, generalmente un servidor, y luego reemplazar la instalación legítima de OpenSSH con una de las versiones trojanizadas.

ESET dijo que “18 de las 21 familias presentaban una función de robo de credenciales, lo que hace posible robar contraseñas y / o claves” y “17 de las 21 familias presentaron un modo de puerta trasera, lo que le permite al atacante una forma sigilosa y persistente de conexión continua a la máquina comprometida “.

Imagen de Eset

Estas variedades de malware no son “nuevas”. Los investigadores de ESET admitieron que no descubrieron estas cepas de primera mano. Ese honor es para los creadores de otro malware de Linux llamado Windigo (también conocido como Ebury).

ESET dice que al analizar la botnet Windigo y su puerta trasera central Ebury, descubrieron que Ebury presentaba un mecanismo interno que buscaría otras puertas traseras instaladas en OpenSSH localmente.

La forma en que el equipo de Windigo hizo esto, dijo ESET, fue mediante el uso de un script Perl que escaneaba 40 firmas de archivos (hashes) que se sabe que fueron implementadas por bandas de malware de la competencia.

“Cuando examinamos estas firmas, nos dimos cuenta rápidamente de que no teníamos muestras que coincidieran con la mayoría de las puertas traseras descritas en el guión”, dijo Marc-Etienne M. Léveillé, analista de malware de ESET.

“Los operadores de malware en realidad tenían más conocimiento y visibilidad de las puertas traseras de SSH in-the-wild que nosotros”, agregó.

Léveillé dice que ESET ha estado usando la misma lista de 40 firmas de archivos para buscar esas familias de malware durante los últimos años. Algunas de las 40 cepas originales nunca se han visto antes, probablemente debido a que sus creadores pasaron a otras cepas de malware, pero 21 de esas puertas traseras OpenSSH trojanizadas se han seguido utilizando en los años posteriores.

ESET ha publicado un informe de 53 páginas que detalla cada una de estas 21 cepas. Algunas de estas cepas de malware son realmente simples, pero algunas también son muy complejas, y es muy probable que sean el trabajo de desarrolladores de malware con experiencia.

Los administradores de servidores Linux pueden usar los indicadores de compromiso (IOC) incluidos en este informe para analizar sus sistemas en busca de estas cepas.

El informe no entra en detalles sobre cómo los operadores de botnets siembran estas versiones de puerta trasera OpenSSH en hosts infectados. Pero si hemos aprendido algo de informes anteriores sobre las operaciones de malware de Linux, es que los actores de amenazas usualmente confían en las mismas técnicas para obtener una base en los sistemas Linux:

  • Ataques de fuerza bruta o diccionario que intentan adivinar las contraseñas SSH. El uso de contraseñas seguras o únicas, o un sistema de filtrado de IP para los inicios de sesión SSH deberían evitar este tipo de ataques.
  • Explotación de vulnerabilidades en aplicaciones que se ejecutan en la parte superior del servidor Linux (por ejemplo, aplicaciones web, CMS, etc.). Si la aplicación / servicio se configuró incorrectamente con acceso de root, o si el atacante explota una falla de escalamiento de privilegios, una falla inicial del complemento de WordPress se puede escalar fácilmente al sistema operativo subyacente. Manteniendo todo actualizado, tanto el sistema operativo como las aplicaciones que se ejecutan, deberían evitar este tipo de ataques.

A menos que los propietarios de Linux hagan un esfuerzo para configurar mal sus servidores, por razones de conveniencia, deberían estar a salvo de la mayoría de estos ataques.

[Con información de ZDNet]

Comentarios
A %d blogueros les gusta esto: