De cerca y particular con malware de Linux


¿Cuáles son las principales amenazas de seguridad que enfrenta Linux? Preguntas y respuestas con el investigador senior de malware de ESET Marc-Etienne M.Léveillé, cuyo trabajo ha sido essential para descubrir una serie de cepas de malware que afectan a los servidores Linux.

Lo más probable es que la misma palabra «Linux» evoque imágenes de seguridad casi impenetrable. Sin embargo, los sistemas informáticos basados ​​en Linux y las aplicaciones que se ejecutan en ellos terminan cada vez más en la mira de los malos actores, y en los últimos años se han descubierto varios campañas maliciosas que afectan a los sistemas Linux, incluyendo botnets que estaban formados por miles de servidores Linux. Estas crecientes amenazas han desafiado el pensamiento convencional de que Linux está más o menos a salvo de los problemas que afectan a otros sistemas operativos, particularmente a Windows.

Desafortunadamente, muchos administradores de sistemas Linux carecen del conocimiento para contrarrestar las amenazas que enfrentan sus infraestructuras. Para ayudar a cambiar eso, Marc-Etienne dirigirá un taller en la próxima Conferencia RSA 2020, llamado Cazando malware de Linux por diversión y banderas, eso brindará a los profesionales de TI una excelente oportunidad para enfrentarse al malware de Linux del mundo real en un entorno controlado.

Antes de su taller y presentación, aprovechamos la oportunidad para preguntarle a Marc-Etienne sus opiniones sobre la seguridad de Linux.

Has pasado años buscando malware que se infiltra en servidores basados ​​en Linux. ¿Primero nos daría una vista en helicóptero del panorama de amenazas de malware de Linux a principios de 2020?

El panorama de amenazas de malware de Linux para 2020 es bastante very similar a lo que hemos visto en los últimos años. Lo sabemos Ebury, la puerta trasera OpenSSH utilizada en Operación Windigo, todavía se está actualizando y utilizando en la naturaleza en 2020. Se vieron nuevas muestras durante el último mes. Hace unos años, también hubo un aumento en el malware de Linux dirigido a enrutadores y otros periféricos basados ​​en Linux, por ejemplo, Mirai y todas sus variantes, y Alce. Escuchamos menos sobre estas amenazas últimamente y espero que sea porque los proveedores de servicios de Online (ISP) y los vendedores han hecho un mejor trabajo al proteger estos dispositivos y están evitando exponer el acceso de administración remota con contraseñas predeterminadas.

Todavía tenemos que encontrar una campaña tan sofisticada como la Operación Windigo que documentamos hace más de cinco años. No significa que no haya ninguno tal vez los perpetradores están mejorando para permanecer bajo el radar?

¿Cuáles son las principales amenazas que enfrentan los servidores Linux?

Las amenazas dependen principalmente de los servicios prestados por los servidores. Por ejemplo, si un sitio web popular se ve comprometido, podría usarse para redirigir el tráfico, realizar un abrevadero ataque para comprometer a sus visitantes, o robar datos del formulario enviado. También estamos observando que se envían muchos correos no deseados por lo que parecen ser servidores comprometidos. Algo que estamos viendo más ahora que hace unos años es la difusión de los mineros de criptomonedas. Es una forma very simple de monetizar una botnet de Linux sin interferir demasiado con los servicios del host legítimo.

¿Qué ha cambiado desde que analizaste por primera vez el malware de Linux?

Estamos viendo más grupos que realizan ataques dirigidos que también tienen malware de Linux en su arsenal. Esto va más allá de las habituales campañas de crimeware que estábamos viendo que se utilizaron para obtener ganancias financieras. Por ejemplo, se descubrió el año pasado que el Grupo Winnti, conocido por sus campañas de espionaje y por motivos financieros, tiene variantes de Linux en su puerta trasera. Esto fue revelado por Kaspersky durante SAS y analizado por Chronicle Unas pocas semanas después. Otros buenos ejemplos son las plataformas cruzadas. Puerta trasera Xagent por el grupo Sednit y Kamino, una puerta trasera OpenSSH utilizada por Carbanak.

Algunas de las campañas que ayudó a descubrir habían permanecido fuera del radar durante años. ¿Por qué? ¿Crees que esto también puede estar cambiando?

Es difícil decir si hay más campañas que están fuera del radar, porque todavía no conocemos las incógnitas. Lo que quiero decir es que es muy possible que haya varias botnets de Linux por ahí que aún no estén documentadas. ¿Cuántos? ¿Más o menos de ellos que antes? Esas son preguntas difíciles de responder sin métricas.

¿Cómo la falta de telemetría con respecto al malware de Linux obstaculiza su trabajo?

Solo un pequeño porcentaje de usuarios instala productos de seguridad en sistemas Linux. Esto significa que es difícil determinar la prevalencia de una amenaza de Linux: ¿son los números bajos porque los tamaños de las muestras son pequeños o es porque esta amenaza es poco común? Este problema no es específico del proveedor: existe una tendencia standard a tratar los sistemas Linux de manera diferente, a veces por buenas razones, pero creo que la mayoría de las veces por malas razones.

Cada vez que se descubre un nuevo malware dirigido a Linux, los usuarios de Linux parecen sorprendidos y tienden a negar el problema. ¿Crees que Linux es más seguro que los otros sistemas operativos?

Mucha gente piensa en Linux como un sistema operativo con una seguridad outstanding en comparación con todos los demás. En 2020, no creo que esto sea algo que podamos afirmar. Tanto Microsoft como Apple han puesto mucho esfuerzo en asegurar sus plataformas. Por ejemplo, las firmas de código incrustadas en archivos ejecutables y la aplicación de firmas válidas para el sistema clave y la funcionalidad del controlador del dispositivo es algo que ha estado disponible en Home windows y macOS durante años, mientras que en Linux, todavía no está muy extendido. No digo que Linux sea inseguro, sino que, al igual que las otras plataformas, tiene sus puntos fuertes y débiles, y ciertamente no debe considerarse a prueba de balas.

¿Hay algo que distinga el malware basado en Linux aparte del código malicioso que se dirige a otros sistemas operativos? ¿Algo notable en términos de sigilo, ofuscación, armadura, persistencia …?

En comparación con el malware de Windows, el malware de Linux tiende a ser menos ofuscado y más fácil de analizar. La ofuscación a menudo se agrega para evadir la detección por productos de seguridad. Como a menudo no hay productos de seguridad para evitar, la barra es más baja y los atacantes omiten este paso innecesario. No digo que todo el malware de Linux sea fácil de analizar y que ninguno esté ofuscado Estoy diciendo que, en promedio, la barra es más baja.

Cuando un servidor Linux se ve comprometido, la persistencia del malware no es un problema tan grande como en otros sistemas. Los servidores tienden a tener tiempos de actividad muy altos y los reinicios son mucho menos frecuentes que en las computadoras de escritorio o portátiles. Como resultado, en basic, el malware de Linux tiende a carecer de mecanismos de persistencia.

¿Cuáles son los vectores de ataque más comunes para comprometer los servidores Linux?

Creo que las vulnerabilidades en las aplicaciones world wide web siguen siendo uno de los vectores de ataque más comunes para comprometer los servidores Linux. Sin embargo, hemos visto vulnerabilidades reveladas en los últimos años en servicios que son muy populares, como el Servidor de correo Exim (CVE-2019-10149) La explotación de esta vulnerabilidad fue bastante fácil y vimos muchos intentos de usarla para propagar malware justo después de que se revelara.

¿Cuáles son las mejores formas de prevenir tales infiltraciones?

Sé que puede sonar como un disco rayado … pero mantener el application actualizado sigue siendo una de las recomendaciones clave. Para los servidores de producción que ejecutan una distribución de Linux con soporte a largo plazo, es preferible asegurarse de tener parches de seguridad disponibles sin tener que actualizar el sistema operativo completo y arriesgarse a romper los servicios de producción.

Habilitar la autenticación de dos factores (2FA) en SSH también es una buena recomendación, especialmente si se puede acceder al sistema desde Net. 2FA protegerá el servidor si se roban o reutilizan las credenciales.

Para evitar pasar de un servicio a otro, aislar los servicios también es una buena práctica. Por ejemplo, alojar un weblog no mantenido en el mismo sistema que un sitio world-wide-web donde se procesan las transacciones financieras representa un riesgo, ya que comprometer el web site puede resultar en comprometer el sitio website transaccional.

Hace cinco años, dijiste que el falta de conocimiento forense de Linux es el problema principal para los administradores de sistemas. ¿Ha cambiado esto?

Creo que esto sigue siendo un problema, pero la causa raíz de esto también es la falta de tiempo asignado para asegurar los sistemas, en comparación con el desarrollo de otros nuevos. Del mismo modo, el esfuerzo dedicado a capacitar al private interno sobre seguridad a menudo es mínimo. No es nada nuevo que la seguridad se vea a menudo como un gasto. Este no es un problema específico de Linux. Sin embargo, ese gasto de repente parecería útil si ocurre un incidente.

Ahora volvamos nuestra atención a su próximo taller en RSA. ¿Nos darías un vistazo de tus actividades allí?

Esta será mi primera vez en RSA. Espero presentar algunos contenidos técnicos interesantes allí en forma de un taller práctico y una presentación el jueves durante el evento.

El taller estará abierto durante la semana completa de RSA y solo requiere que tenga una computadora con un navegador net, el cliente OpenVPN y un cliente SSH. Se cree que se siente lo más cercano posible a una situación true: el servidor se ve comprometido de manera activa al usar un servicio vulnerable, el malware habla con un servidor de C&C, and so forth. Visítenos en el stand de ESET para obtener acceso al taller.

Mi presentación resumirá varias herramientas de Linux comúnmente disponibles para investigar una violación. Es importante comprender qué datos y metadatos están disponibles y cómo consultarlos y analizarlos. Explicaré cómo estas herramientas fueron útiles en incidentes reales en los que hemos trabajado.

Gracias marc-Etienne!








Enlace a la noticia initial