Jeremy Brooks / Flickr
Una puerta trasera sigilosa no detectada por los proveedores de antimalware es dando a los atacantes desconocidos un control completo sobre al menos 100 Linux servidores que parecen ser utilizados en entornos de producción empresarial, advertir a los investigadores.
En una publicación de blog publicada el miércoles, GoSecure, con sede en Montreal afirmó que una pieza de malware denominada “Caos” está infectando mal sistemas seguros adivinando contraseñas débiles que protegen el shell seguro los administradores de aplicaciones usan para controlar de forma remota los sistemas basados en Unix ordenadores. El shell seguro, o SSH, se ve comprometido a ejecutar cuentas como root, y así es como la puerta trasera puede obtener acceso como bien. Normalmente, los firewalls frente a los servidores bloquean tales puertas traseras de comunicarse con Internet exterior. Una vez instalado, Caos evita esas protecciones mediante el uso de lo que se conoce como un “zócalo sin procesar” para supervisar de forma encubierta todos los datos enviados a través de la red.
“Con Chaos usando un socket sin procesar, la puerta trasera se puede activar en puertos que ejecutan un servicio legítimo existente, “Sebastian Feldmann, un estudiante de maestría en prácticas que trabaja para GoSecure, escribió. “Como un ejemplo, un servidor web que solo expondría SSH (22), HTTP (80), y HTTPS (443) no sería accesible a través de una puerta trasera tradicional debido al hecho de que esos servicios están en uso, pero con Chaos se hace posible “.
Una vez instalado, Chaos permite a los operadores de malware en cualquier lugar del mundo para obtener un control completo sobre el servidor a través de un shell inverso. El atacante puede usar su percha privilegiada para filtrar sensibles datos, moverse más dentro de la red comprometida, o como un proxy para ocultar hacks en computadoras fuera de la red. Para activar el puerta trasera, los atacantes envían una contraseña débilmente encriptada a uno de los puertos de la máquina infectada.
Los investigadores de GoSecure dijeron que la contraseña era fácil para ellos crack porque fue codificado en el malware usando el antiguo Esquema de cifrado DES. Eso significa que los sistemas infectados no son accesible solo para las personas que originalmente plantaron el Caos pero por cualquiera que, como GoSecure, invierta los recursos modestos necesarios para descifrar la contraseña Los investigadores realizaron un escaneo en Internet el 19 de enero y detectó 101 máquinas que estaban infectadas.
La apatía es el mejor amigo del malware
Informaron sus hallazgos al incidente cibernético canadiense Centro de respuesta con la esperanza de lograr que las organizaciones afectadas desinfectar sus sistemas. Sin embargo, un escaneo el miércoles mostró que 98 servidores permanecieron infectados. Se ubicaron los sistemas comprometidos en una variedad de servicios de alojamiento de renombre, incluidos Cloudbuilders, Rackspace, Digital Ocean, Linode, Comcast y OVH.
A medida que los investigadores profundizaron en el Caos, descubrieron que el malware no era más que una versión renombrada de una puerta trasera que se incluyó en un rootkit conocido como SEBD, abreviatura de Simple Backdoor cifrado para Linux, que se lanzó públicamente en 2013. A pesar de su disponibilidad durante más de cinco años, este VirusTotal consulta indica que ninguno de los 58 anti-malware más utilizados los servicios lo detectan. GoSecure señaló además que los atacantes son agrupando el Caos con malware para una botnet que se está utilizando para extraer La criptomoneda conocida como Monero.
La debilidad clave que permite que el Caos se extienda es el uso de un contraseña débil para proteger SSH. Las mejores prácticas requieren que SSH sea protegido con una clave criptográfica y una contraseña segura. La publicación de blog del miércoles proporciona un conjunto de indicadores que los administradores pueden usar para determinar si alguno de sus sistemas es comprometida. Además de desinfectar los servidores afectados, los administradores deberían asegúrese de que sus aplicaciones SSH estén protegidas adecuadamente para evitar ataques similares de tener éxito nuevamente.
