Investigadores de seguridad han descubierto un backdoor Linux que utiliza un protocolo de comunicación secreto para ocultar su presencia en los sistemas comprometidos.
El malware ha sido utilizado en un ataque contra una gran empresa (sin identificar) que recibió al intruso en mayo e intentó evitar que se disparasen las alarmas mediante la inyección de sus propias comunicaciones en el tráfico legítimo, comunicación específica SSH.
SSH es un protocolo que se utiliza para acceder a cuentas shell en Unix-como sistemas operativos, una actividad continua para la administración remota de los sitios web.
Modus Operandi del Malware
- Los ciberdelincuentes desconocidos o ciberespías accedieron a la información de registro del cliente, tales como nombres de usuario, correos electrónicos y contraseñas que utilizan el malware sutil y sigiloso, de acuerdo con un análisis de la puerta de atrás por los investigadores de seguridad de Symantec.
- Además, el malware hace uso del algoritmo de cifrado Blowfish para cifrar archivos de datos robados u otras comunicaciones con una red de mando y control.
- Los atacantes necesitaban proteger el entorno destino. En particular, los atacantes necesitan un medio para evitar el tráfico de red sospechoso o archivos instalados, lo que puede haber provocado una revisión de seguridad.
- Demostración de sofisticación, los atacantes idearon su propio patio trasero Linux sigiloso para camuflarse en el Secure Shell (SSH) y otros procesos del servidor.
- Esta puerta trasera permite a un atacante realizar la funcionalidad habitual - como la ejecución de comandos remotos - sin embargo, la puerta trasera no abre un socket de red o intento de conexión a un servidor de comando y control. Más bien, el código de puerta trasera se inyecta en el proceso de SSH para controlar el tráfico de red y busque la siguiente secuencia de caracteres: dos puntos, signo de exclamación, punto y coma, punto (":;!.").
- Después de ver este patrón, la puerta trasera sería analizar el resto del tráfico y a continuación, extraer comandos que habían sido cifrados con Blowfish y codificado en Base64.
- Para Symantec el malware detectado, llamado Fokirtor, es diferente de cualquier otro backdoor Linux que sus investigadores de seguridad han analizado anteriormente.
- A pesar de ello, Symantec afirma que Fokirtor es completamente diferente de cualquier virus anterior de Linux y el software malicioso es notable, no menos importante, ya que sugiere la nueva táctica por primera vez por el malware pueden surgir en el código de seguimiento.
- El Malware en los sistemas Linux es sobre todo un problema en el servidor y los incidentes de gusanos y troyanos dirigidos a cientos o miles, son bajos - en comparación con las decenas de millones de agentes patógenos de Windows y un millón más en Android.
Fuente: The Register
