Investigadores de ESET descubrieron 21 familias de malware para Linux indocumentadas basadas en OpenSSH. Además, incluímos un whitepaper con un análisis de cada familia para mejorar los mecanismos de prevención y detección.

SSH es la forma abreviada de referirse a Secure Shell, un protocolo de red para conectar computadoras y dispositivos de manera remota mediante un enlace de red cifrado. Generalmente, este protocolo es utilizado para gestionar los servidores Linux utilizando una consola modo texto. Asimismo, SSH es la forma más común para que los administradores de sistemas administren de manera remota, en la nube o de forma dedicada, servidores Linux alquilados.

La implementación de facto, que viene prácticamente en todas las distribuciones de Linux, es la versión portable de OpenSSH. Un popular método utilizado por atacantes para mantener la persistencia en servidores Linux comprometidos es backdoorear el servidor y cliente OpenSSH ya instalado. Existen varias razones para explicar la popularidad de crear un malware basado en OpenSSH.

No requiere que se abra un nuevo Puerto TCP en la computadora comprometida. SSH ya debería estar ahí y ser fácilmente accesible desde Internet.

  • Tanto el daemon como el cliente OpenSSH ven las contraseñas en texto plano, brindándole al atacante la posibilidad de robar las credenciales.
  • El código fuente de OpenSSH está disponible de forma gratuita, haciendo que sea sencillo crear una versión “personalizada” y backdooreada.
  • OpenSSH está diseñado para que sea difícil implementar un ataque man-in-the-middle y espiar la actividad de sus usuarios. Esto hace que sea más difícil detectar las actividades maliciosas del atacante.

Para combatir mejor el malware para Linux, investigadores de ESET fueron en busca de backdoors OpenSSH activos, tanto conocidos como desconocidos. Tomamos como punto de partida para nuestra investigación el conocimiento recopilado en una de nuestras investigaciones previas: Operación Windigo. En ese whitepaper describimos en detalle los múltiples componentes del malware Windigo y cómo trabajan juntos. En su núcleo estaba Ebury, un backdoor OpenSHH y un spyware diseñado para robar credenciales que había sido instalado en decenas de miles de servidores Linux comprometidos a nivel mundial.

Algo que originalmente no fue discutido en el documento sobre Operación Windigo, pero que es algo de lo que sí han hablado los investigadores de ESET en conferencias, es cómo esos atacantes intentan detectar otros backdoors OpenSHH antes de desplegar el suyo (Ebury). Utilizan un script en Perl que desarrollaron y que contiene más de 40 firmas para diferentes backdoors.Cuando analizamos estas firmas, nos dimos cuenta rápidamente que no contábamos con muestras que coincidieran con la mayoría de los backdoors descritos en el script. La realidad es que los operadores de malware tenían más conocimiento y visibilidad de los backdoors SSH activos que nosotros. Por lo tanto, para hacer frente a esta realidad comenzamos a buscar las muestras de malware faltantes utilizando sus firmas. Esto nos ayudó a encontrar muestras previamente desconocidas para la industria de la seguridad y reportar detalladamente los hallazgos.

En el día de hoy, investigadores de ESET están publicando un paper «The Dark Side of the ForSSHe: A landscape of OpenSSH backdoors» enfocado en las 21 familias de malware OpenSSH activas. Si bien algunos de estos backdoors ya han sido analizados y documentados, ningún análisis de la mayoría de estos estaba disponible hasta ahora. En este sentido, la intención de este paper es describir de manera general cómo está conformado el actual ecosistema de backdoors para OpenSSH. El documento es el resultado de un largo proyecto de investigación que involucra reglas de escritura y detecciones, el despliegue de honeypots personalizados, clasificación de muestras y el análisis de las diferentes familias de malware.

Fuente: Segu-info.com.ar

Compartir