Si bien se creía que el código malicioso en Linux no era una preocupación, el mismo ha tenido un crecimiento considerable.
Durante mucho tiempo se creyó que era prácticamente imposible que un
virus u otro tipo malware impactaran a Linux. De hecho, se consideraba
que los sistemas operativos basados en Linux eran la perfecta
combinación entre las bondades del código abierto y una seguridad
sólida. Sin embargo, los sistemas operativos basados en Linux ahora se
ven cada vez más como un blanco de ataque valioso y viable.
Este cambio de pensamiento es en parte consecuencia de una creciente
comprensión por parte de los aficionados a Linux y también de los
administradores de sistemas, de que un sistema Linux comprometido, como
un servidor web, proporciona a los atacantes un excelente “retorno de la
inversión”. Igual de importante, las investigaciones de malware
realizadas en los últimos años le han dado una mayor visibilidad a las
amenazas que enfrentan los sistemas Linux.
Todavía hay muchas razones que justifican la creencia popular que
asocia a Linux con una mayor seguridad, aunque no perfecta. Sin embargo,
es importante destacar que esta creencia no distingue entre las
distintas distribuciones y casos de uso de sistemas basados en Linux,
al tiempo que no tiene en cuenta la existencia de varias amenazas.
Las distribuciones de Linux para escritorio siguen siendo ampliamente
superadas en número por los sistemas Windows (y también por las
máquinas con macOS). Este estado de nicho sin dudas juega un papel en la
relativa escasez de malware basado en Linux.
Pero cambie su mirada sobre los servidores públicos y se volverá
evidente que hay mucha más actividad maliciosa cocinándose a fuego lento
bajo la tapa de Linux. Lo mismo podría decirse de todo tipo de
dispositivos integrados, equipos de red y teléfonos inteligentes Android
que, de alguna forma, también se basan en Linux.
Centrémonos aquí en los servidores, sobre todo porque llevan la peor
parte de los ataques de malware contra sistemas basados en Linux. Las
distribuciones Linux para servidores están en el corazón de la mayoría
de los data centers y el sistema operativo es grande para empresas que
tienen múltiples formas y tamaños. De hecho, gran parte de la web
actual, incluidos los servidores operados por Google, Facebook y
Twitter, funciona con Linux.
Por lo tanto, no debería sorprendernos que en la historia reciente se
hayan visto ejemplos de daños causados por malware que comprometieron
la instalación de un servidor Linux. Un servidor vulnerable es un
blanco invaluable para varios tipos de acciones nefastas, incluido el
robo de datos personales y credenciales de acceso, redirección de
tráfico web, ataques DDoS y minería de criptomonedas. Es importante
destacar que también se puede abusar del servidor para alojar servidores
de comando y control (C&C) para otro código malicioso y para lanzar
campañas de spam que desplieguen malware; especialmente malware
dirigido a sistemas Windows.
Antecedentes
Ni siquiera es necesario irse muy lejos para encontrar ejemplos
ilustrativos de huecos en la armadura de malware de Linux. Hace poco más
de un año, investigadores de ESET expusieron una gran cantidad de backdoors OpenSSH,
un arma elegida por los atacantes que buscan arrebatar a los
administradores el control de los servidores. Los investigadores
descubrieron 21 familias de malware basadas en Linux, incluida una
docena que no se había documentado antes. Casi todas las cepas tenían
funcionalidades de robo de credenciales y de backdoor.
Esta investigación fue el resultado de tres años de trabajo que
finalmente ofreció información única sobre el ecosistema de malware de
Linux. Sin duda, no fue un esfuerzo aislado, ni ocurrió de la nada. Los
investigadores emprendieron la búsqueda con los conocimientos
proporcionados por su galardonada investigación sobre la Operación Windigo, que había acorralado alrededor de 25,000 servidores, la mayoría de ellos con Linux, en una de las botnets
de servidores más grandes que se haya conocido. Las máquinas
comprometidas fueron utilizadas para el robo de credenciales, campañas
de spam, redirección de tráfico web a contenido malicioso y otras
acciones nefastas.
En el corazón de la campaña se había ejecutado, sin ser detectado durante al menos tres años, el backdoor de Linux/Ebury.
Incluso antes de que esta pieza de malware se instalara en un servidor,
los atacantes harían que Ebury verificara si el servidor ya estaba
cargado con otro backdoor SSH. Fue esta rutina la que provocó la
búsqueda de familias de malware OpenSSH activas in-the-wild.
A lo largo de los años, los investigadores de ESET han realizado
otros descubrimientos que se agregaron al conjunto de conocimientos
sobre el malware para servidores Linux. Entre otras cosas, se descubrió
que Windigo estaba vinculado a uno de sus descubrimientos anteriores: Linux/Cdorked,
uno de los backdoors más sofisticados dirigidos en ese momento a
servidores web Linux Apache. Además, Windigo trajo recuerdos de la
investigación de ESET sobre Mumblehard, otra botnet que zombificó a miles de servidores Linux y que finalmente fue eliminada en un esfuerzo internacional de aplicación de la ley con el apoyo de investigadores de ESET.
¿Cómo capturar el malware?
Los investigadores de ESET están ansiosos por compartir sus hallazgos
con los profesionales de Linux, que pueden estar inadecuadamente
entrenados para combatir el malware dirigido a servidores. La próxima
Conferencia RSA 2020 contará con un taller realizado por el
experimentado investigador de malware de ESET Marc-Etienne M.Léveillé, quien ha sido una figura central en la mayoría de las investigaciones descritas anteriormente. El taller de Marc-Etienne, Hunting Linux Malware for Fun and Flags,
brindará a los administradores de sistemas y a otros profesionales de
TI una excelente oportunidad para enfrentar la amenaza que supone el
malware para Linux y aplicar las conclusiones en sus propios entornos de
servidor.
Compartimos una entrevista que publicaremos con Marc-Etienne en la que nos brinda más detalles sobre el ecosistema de malware para Linux en la actualidad.
0 Comentarios