El malware que se dirige a los usuarios de Linux puede no estar tan extendido como las cepas que apuntan al ecosistema de Windows, pero el malware de Linux se está volviendo tan complejo y multifuncional a medida que pasa el tiempo.
El último ejemplo de esta tendencia es un nuevo troyano descubierto este mes por el fabricante de antivirus ruso Dr.Web. Esta nueva variedad de malware no tiene un nombre distintivo, sin embargo, solo se realiza un seguimiento bajo su nombre de detección genérico de Linux.BtcMine.174.
Pero a pesar del nombre genérico, el troyano es un poco más complejo que la mayoría del malware de Linux, principalmente debido a la gran cantidad de funciones maliciosas que incluye.
El propio troyano es un script de shell gigante de más de 1.000 líneas de código. Este script es el primer archivo ejecutado en un sistema Linux infectado. Lo primero que hace este script es encontrar una carpeta en el disco en la que tenga permisos de escritura para que pueda copiarse y luego utilizarla para descargar otros módulos.
Una vez que el troyano tiene un punto de apoyo en el sistema, utiliza uno de los dos exploits de escalamiento de privilegios CVE-2016-5195 (también conocido como Dirty COW) y CVE-2013-2094 para obtener permisos de root y tener acceso completo al sistema operativo.
El propio troyano es un script de shell gigante de más de 1.000 líneas de código. Este script es el primer archivo ejecutado en un sistema Linux infectado. Lo primero que hace este script es encontrar una carpeta en el disco en la que tenga permisos de escritura para que pueda copiarse y luego utilizarla para descargar otros módulos.
Una vez que el troyano tiene un punto de apoyo en el sistema, utiliza uno de los dos exploits de escalamiento de privilegios CVE-2016-5195 (también conocido como Dirty COW) y CVE-2013-2094 para obtener permisos de root y tener acceso completo al sistema operativo.
El troyano luego se configura como un demonio local, e incluso descarga la utilidad nohup para lograr esta operación si la utilidad ya no está presente.
Después de que el troyano tiene un dominio firme sobre el host infectado, continúa con la ejecución de su función principal para la cual fue diseñado, que es la minería de criptomonedas. El troyano primero escanea y finaliza los procesos de varias familias rivales de malware de minería de criptomonedas, y luego descarga e inicia su propia operación de minería de Monero.
Después de que el troyano tiene un dominio firme sobre el host infectado, continúa con la ejecución de su función principal para la cual fue diseñado, que es la minería de criptomonedas. El troyano primero escanea y finaliza los procesos de varias familias rivales de malware de minería de criptomonedas, y luego descarga e inicia su propia operación de minería de Monero.
También descarga y ejecuta otro malware, conocido como el troyano Bill.Gates, una conocida cepa de malware DDoS, pero que también viene con muchas funciones de tipo puerta trasera.
Sin embargo, Linux.BtcMine.174 no está hecho. El troyano también buscará nombres de procesos asociados con soluciones antivirus basadas en Linux y eliminará su ejecución. Los investigadores de Dr.Web dicen que han visto a los troyanos detener los procesos antivirus que tienen nombres como safedog, aegis, yunsuo, clamd, avast, avgd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord.
Pero incluso después de configurarse como un demonio, obtener permisos de root a través de ataques conocidos e instalar el malware Bill.Gates con sus capacidades de puerta trasera, los operadores del troyano aún no están contentos con el nivel de acceso a los hosts infectados.
Según Dr.Web, el troyano también se agrega como una entrada de ejecución automática a archivos como /etc/rc.local, /etc/rc.d / ... y /etc/cron.hourly; y luego descarga y ejecuta un rootkit.
Este componente de rootkit tiene características aún más intrusivas, según los expertos, como "la capacidad de robar contraseñas ingresadas por el usuario para el comando su y ocultar archivos en el sistema de archivos, conexiones de red y procesos en ejecución".
Esa es una lista impresionante de funciones maliciosas, pero Linux.BtcMine.174 aún no está terminado. El troyano también ejecutará una función que recopila información sobre todos los servidores remotos que el host infectado se ha conectado a través de SSH e intentará conectarse a esas máquinas también, para propagarse a más sistemas.
Sin embargo, Linux.BtcMine.174 no está hecho. El troyano también buscará nombres de procesos asociados con soluciones antivirus basadas en Linux y eliminará su ejecución. Los investigadores de Dr.Web dicen que han visto a los troyanos detener los procesos antivirus que tienen nombres como safedog, aegis, yunsuo, clamd, avast, avgd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord.
Pero incluso después de configurarse como un demonio, obtener permisos de root a través de ataques conocidos e instalar el malware Bill.Gates con sus capacidades de puerta trasera, los operadores del troyano aún no están contentos con el nivel de acceso a los hosts infectados.
Según Dr.Web, el troyano también se agrega como una entrada de ejecución automática a archivos como /etc/rc.local, /etc/rc.d / ... y /etc/cron.hourly; y luego descarga y ejecuta un rootkit.
Este componente de rootkit tiene características aún más intrusivas, según los expertos, como "la capacidad de robar contraseñas ingresadas por el usuario para el comando su y ocultar archivos en el sistema de archivos, conexiones de red y procesos en ejecución".
Esa es una lista impresionante de funciones maliciosas, pero Linux.BtcMine.174 aún no está terminado. El troyano también ejecutará una función que recopila información sobre todos los servidores remotos que el host infectado se ha conectado a través de SSH e intentará conectarse a esas máquinas también, para propagarse a más sistemas.
Se cree que este mecanismo de auto-propagación SSH es el principal canal de distribución del troyano. Debido a que el troyano también se basa en el robo de credenciales SSH válidas, esto significa que incluso si algunos administradores de sistemas Linux tienen cuidado de proteger adecuadamente las conexiones SSH de sus servidores y solo permiten la conexión de un número seleccionado de hosts, es posible que no puedan prevenir una infección si Uno de esos anfitriones seleccionados ha sido infectado sin su conocimiento.
Dr.Web ha cargado los hashes SHA1 para los diversos componentes del troyano en GitHub, en caso de que algunos administradores de sistemas deseen analizar sus sistemas para detectar la presencia de esta amenaza relativamente nueva. Más sobre el análisis de Dr.Web de Linux.BtcMine.174 aquí.
Dr.Web ha cargado los hashes SHA1 para los diversos componentes del troyano en GitHub, en caso de que algunos administradores de sistemas deseen analizar sus sistemas para detectar la presencia de esta amenaza relativamente nueva. Más sobre el análisis de Dr.Web de Linux.BtcMine.174 aquí.
Fuente: https://www.zdnet.com/
0 Comentarios