Linux y malware: ¿debería preocuparse?


El código malicioso no es motivo de preocupación en Linux, ¿verdad? Sostén a tus pingüinos. Cómo el malware de Linux ha pasado de los márgenes a los titulares.

Atrás quedaron los días en que la strategy de que los virus u otro malware atacaran Linux fue recibida casi universalmente con miradas burlonas, si no rechazo total. Considerado durante mucho tiempo como el matrimonio perfecto entre la bondad de código abierto y la seguridad sólida, related a Unix, los sistemas operativos basados ​​en Linux ahora se ven cada vez más como otro objetivo valioso y practical.

Este cambio de pensamiento es en parte el resultado de una creciente comprensión entre los aficionados a Linux y los administradores de sistemas de que un sistema Linux comprometido, como un servidor net, proporciona a los atacantes un excelente «retorno de la inversión». Igual de importante, investigación de malware En los últimos años ha traído una mejor visibilidad de las amenazas que enfrentan los sistemas Linux.

Es cierto que todavía hay más que un núcleo de verdad en la sabiduría popular que asocia Linux con una seguridad mejor, aunque no perfecta. Sin embargo, es importante destacar que esto no distingue entre varios sabores y casos de uso de sistemas basados ​​en Linux, al tiempo que no tiene en cuenta la existencia de varias amenazas independientes de la plataforma.

Las distribuciones de Linux para el escritorio siguen siendo ampliamente superadas en número por los sistemas de Windows (y también por las máquinas macOS, para el caso). Este estado de nicho ciertamente juega un papel en la escasez relativa de Malware basado en Linux. Pero cambie su mirada a los servidores públicos y se hace evidente que hay mucha más actividad maliciosa a fuego lento bajo la tapa de Linux. Lo mismo podría decirse de todo tipo de dispositivos integrados, equipos de purple y teléfonos inteligentes Android que, también, se basan en Linux de alguna forma.

Centrémonos en los servidores aquí, sobre todo porque soportan la peor parte de los ataques de malware contra sistemas con Linux. Las distribuciones de servidores Linux están en el corazón de la mayoría de los centros de datos y el sistema operativo es grande para empresas de varias formas y tamaños. De hecho, gran parte de la world-wide-web genuine, incluidos los servidores operados por Google, Facebook y Twitter, funciona con Linux.

No debería sorprender, entonces, que en la historia reciente no haya escasez de ejemplos de daños causados ​​por malware que ha comprometido la instalación de un servidor Linux. Un servidor vulnerable es un objetivo a must have para varios tipos de acciones nefastas, incluido el robo de datos personales y credenciales de acceso, redirección de tráfico website, ataques DDoS y minería de criptomonedas. Es importante destacar que también se puede abusar del servidor para alojar servidores de comando y control (C&C) para otro código malicioso y para lanzar campañas de spam para desplegar malware, sí, especialmente malware dirigido a sistemas Home windows.

Un paseo por el carril de la memoria

Ni siquiera tiene que buscar muy lejos ejemplos instructivos de grietas en la armadura de malware de Linux. Hace poco más de un año, los investigadores de ESET expuesto una gran cantidad de puertas traseras OpenSSH, un arma de elección para los atacantes que buscan arrebatar el manage de los servidores a sus administradores. Los investigadores descubrieron 21 familias de malware basadas en Linux, incluida una docena que nunca antes se había documentado. Casi todas las cepas tenían funcionalidades de robo de credenciales y de puerta trasera.

Esta investigación fue el resultado de tres años de trabajo que finalmente ofreció información única sobre el ecosistema de malware de Linux. Sin duda, no fue un esfuerzo aislado, ni ocurrió de la nada. Los investigadores fueron a la caza armados con las percepciones de sus investigación galardonada dentro Operación Windigo, que había acorralado alrededor de 25,000 servidores, la mayoría de ellos con Linux, en uno de los servidores más grandes conocidos botnets. Se abusó de las máquinas comprometidas por robo de credenciales, campañas de spam, redirección de tráfico world wide web a contenido malicioso y otras acciones nefastas.

En el centro de la campaña, que se había ejecutado sin ser detectada durante al menos tres años, estaba el Puerta trasera de Linux / Ebury. Incluso antes de que esta pieza de malware se instalara en un servidor, los atacantes harían que Ebury verificara si el servidor ya estaba cargado con otra puerta trasera SSH. Fue esta rutina la que provocó la búsqueda de familias de malware OpenSSH en la naturaleza. Y el resto es historia.

A lo largo de los años, los investigadores de ESET han realizado otros descubrimientos que se agregaron al conjunto de conocimientos sobre el malware del lado del servidor Linux. Entre otras cosas, se descubrió que Windigo estaba vinculado a uno de sus descubrimientos anteriores: Linux / Cdorked, una de las puertas traseras más sofisticadas dirigido a servidores web Linux Apache en el momento. Además, Windigo trajo recuerdos de Investigación de ESET en Mumblehard, otra botnet que zombificó a miles de servidores Linux y finalmente fue derribado en un esfuerzo internacional de aplicación de la ley con el apoyo de investigadores de ESET.

¿Cómo capturar el malware?

Los investigadores de ESET están ansiosos por compartir sus concepts con los profesionales de Linux, que pueden estar inadecuadamente entrenados para combatir el malware del lado del servidor. La próxima Conferencia RSA 2020 contará con un taller realizado por el Investigador Senior de Malware de ESET Marc-Etienne M.Léveillé, quien ha sido una figura central en la mayoría de las investigaciones descritas anteriormente. El taller de Marc-Etienne, Cazando malware de Linux por diversión y banderas, brindará a los administradores de sistemas y a otros profesionales de TI una excelente oportunidad para enfrentar la amenaza de malware de Linux y aplicar las conclusiones en sus propios entornos de servidor.

Estén atentos para una entrevista con Marc-Etienne mañana para obtener una perspectiva experta sobre el ecosistema de malware de Linux.








Enlace a la noticia initial