Inicio » Malware de Linux que escapa de la detección antivirus
CIBERSEGURIDAD

Malware de Linux que escapa de la detección antivirus

linux malware

Los investigadores dicen que han descubierto una pieza avanzada de malware de Linux que no ha sido detectada por los productos antivirus y parece ser utilizada activamente en ataques dirigidos.

HiddenWasp, es un conjunto de malware completamente desarrollado que incluye un troyano, rootkit y un script de implementación inicial, informaron el miércoles investigadores de la firma de seguridad Intezer . En el momento en que la publicación de Intezer se puso en funcionamiento, el servicio de malware VirusTotal indicó que la Avispa Oculta no fue detectada por ninguno de los 59 motores antivirus que rastrea, aunque algunos ya han comenzado a marcarlo. Las marcas de tiempo en uno de los 10 archivos analizados por Intezer indicaron que se creó el mes pasado. El servidor de comando y control que informan los equipos infectados se mantuvo operativo en el momento en que se estaba preparando este artículo.

Algunas de las pruebas analizadas, incluido el código que muestra que las computadoras que infecta ya están comprometidas por los mismos atacantes, indicaron que HiddenWasp es probablemente una etapa posterior de malware que se envía a objetivos de interés que ya han sido infectados en una etapa anterior. No está claro cuántas computadoras han sido infectadas o cómo se instalaron las etapas anteriores relacionadas. Con la capacidad de descargar y ejecutar código, cargar archivos y ejecutar una variedad de otros comandos, el propósito del malware parece ser controlar remotamente las computadoras que infecta. Eso es diferente de la mayoría del malware de Linux, que existe para realizar ataques de denegación de servicio o criptomonedas.

Llamada de despertador

“El malware de Linux puede presentar nuevos desafíos para la comunidad de seguridad que aún no hemos visto en otras plataformas”, escribió el investigador de Intezer Ignacio Sanmillan en la publicación del miércoles. “El hecho de que este malware se mantenga bajo el radar debería ser un llamado de atención para que la industria de la seguridad asigne mayores esfuerzos o recursos para detectar estas amenazas”.

Parece que parte del código fue tomado de Mirai, el malware de botnet de Internet de las cosas cuyo código fuente se hizo público en 2016. Otro código tiene similitudes con otros proyectos establecidos o malware, como el rootkit de Azazel , el implante ChinaZ Elknot y el recientemente descubrí la variante de Linux de Winnti , una familia de malware que anteriormente se había visto dirigida solo a Windows.

En un correo electrónico, Silas Cutler, ingeniero jefe de ingeniería inversa de Chronicle, la firma de seguridad de Alphabet que descubrió la variante Winnti Linux, escribió:

Lo realmente interesante del caso es que muchas de las herramientas para Linux son bastante rudimentarias. Incluso en el caso de Winnti-Linux, era un puerto de la variante de Windows. El préstamo de código de proyectos de código abierto como Azazel y (ahora) Mirai es interesante porque … puede ser enmascarar a los analistas de malware / engañoso.

La mayoría de los programas maliciosos de Linux se centran, como indica Intezer, en DDoS o en la minería. Esta variante de malware que se centra en el control directo del actor es única. La intención de este malware. . . es realmente interesante en comparación con la mayoría de las cosas * nix. [Los desarrolladores están] usando un rootkit de código abierto para facilitar ese acceso.

El componente de rootkit, Azazel, es realmente solo para ocultar operaciones. Si bien los vínculos de Azazel y Mirai se centraron en el informe, se encontraron elementos de ChinaZ, lo que me hace pensar que los actores estaban experimentando con la combinación de varios conjuntos de herramientas.

El equipo que primero subido uno de los archivos HiddenWasp a VirusTotal utiliza la ruta de acceso que contiene el nombre de una empresa basada en la ciencia forense chino conocido como Shen Zhou Wang Yun Tecnología de la Información Co., Ltd . Los operadores también alquilaron servidores de la empresa de hospedaje de servidores con sede en Hong Kong ThinkDream para alojar su malware.

Uno de los archivos subidos a VirusTotal, un script de bash que parece haber sido utilizado con fines de prueba, llevó a los investigadores de Intezer a un archivo diferente. El nuevo archivo incluía el nombre de usuario y la contraseña de las cuentas que parecen haberse agregado para dar acceso persistente a los atacantes. Esta evidencia llevó a Intezer a creer que el malware se instala en las máquinas que los atacantes ya han comprometido. Es común que el malware avanzado se presente en dos o más etapas en un intento de evitar que se detecten infecciones y evitar daños no deseados.

Desde la publicación del miércoles, las tasas de detección de AV han aumentado, pero en el momento en que Ars publicó este artículo, las tasas seguían siendo bajas. Dependiendo del archivo que se esté analizando, las tasas variaron de dos a 13, de los 59 motores AV rastreados.

Los enlaces de VirusTotal son:

El investigador de la crónica Brandon Levene descubrió este archivo adicional .

La publicación del miércoles incluye indicadores de compromiso que las personas pueden usar para saber si sus computadoras se han infectado. Un signo revelador: los archivos “ld.so” que no contienen la cadena “/etc/ld.so.preload”. Este es el resultado del troyano HiddenWasp que intenta parchear instancias de ld.so para aplicar el mecanismo LD_PRELOAD desde Ubicaciones arbitrarias.