Como nos acercaron la informacion nuestros amigos de laboratoriolinux les queremos dejar todo lo que tienen que saber sobre este nuevo troyano.
El malware dirigido a los usuarios de Linux puede no estar tan extendido como el que se dirige al ecosistema Windows, pero se está volviendo complejo y multifuncional con el paso del tiempo.
El último ejemplo de esta tendencia es un nuevo troyano descubierto este mes por el fabricante ruso de antivirus Dr.Web. Esta nueva cepa de malware aún no tiene un nombre distintivo, siendo rastreada únicamente bajo su nombre genérico de detección: Linux.BtcMine.174.
Pero a pesar del nombre genérico, el troyano es un poco más complejo que la mayoría del malware de Linux, principalmente debido a la plétora de características maliciosas que incluye.
El troyano en sí es un script gigante de más de 1.000 líneas de código. Este script es el primer archivo ejecutado en un sistema Linux infectado. Lo primero que hace este script es encontrar una carpeta en el disco en la que tiene permisos de escritura para poder copiarse a sí mismo y luego usarla para descargar otros módulos.
Una vez que el troyano tiene un punto de apoyo en el sistema, utiliza uno de los dos privilegios de escalada de exploits CVE-2016-5195 (también conocido como Dirty COW) y CVE-2013-2094 para obtener permisos de root y tener acceso completo al sistema operativo.
El troyano se configura como un demonio local, e incluso descarga la utilidad nohup para realizar esta operación si la utilidad no está presente.
Después de que el troyano tiene un firme agarre sobre el huésped infectado, pasa a ejecutar su función principal para la que fue diseñado, que es la minería de criptocurrency. El troyano primero escanea y termina los procesos de varias familias de malware rivales de criptocurrency-mining, y luego descarga e inicia su propia operación de Monero-mining.
También descarga y ejecuta otro malware, conocido como el troyano Bill.Gates, una variedad conocida de malware DDoS, pero que también viene con muchas funciones de puerta trasera.
Sin embargo, Linux.BtcMine.174 no ha terminado. El troyano también buscará nombres de procesos asociados con soluciones antivirus basadas en Linux y matará su ejecución. Los investigadores de Dr.Web dicen que han visto a los troyanos detener los procesos antivirus que tienen nombres como safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord.
Pero incluso después de configurarse como demonio, obtener permisos de root a través de exploits conocidos e instalar el malware Bill.Gatescon sus capacidades de puerta trasera, los operadores del troyano todavía no están contentos con su nivel de acceso a hosts infectados.
Según Dr.Web, el troyano también se añade a sí mismo como una entrada de ejecución automática en archivos como /etc/rc.local, /etc/rc.d/…, y /etc/cron.hourly; y luego descarga y ejecuta un rootkit.
Este componente de rootkit tiene características aún más intrusivas, según los expertos, como “la capacidad de robar contraseñas introducidas por el usuario para el comando su y ocultar archivos en el sistema de archivos, conexiones de red y procesos en ejecución”.
Esa es la impresionante lista de funciones maliciosas, pero Linux.BtcMine.174 aún no está hecho. El troyano también ejecutará una función que recoge información sobre todos los servidores remotos que el host infectado ha conectado a través de SSH e intentará conectarse también a esos equipos, para extenderse a más sistemas.
Se cree que este mecanismo de autodispersión SSH es el principal canal de distribución del troyano. Debido a que el troyano también se basa en el robo de credenciales SSH válidas, esto significa que incluso si algunos administradores de sistemas Linux tienen cuidado de proteger correctamente las conexiones SSH de sus servidores y sólo permiten que se conecten un número seleccionado de hosts, es posible que no sean capaces de prevenir una infección si uno de esos hosts seleccionados ha sido infectado sin su conocimiento.
Dr.Web ha subido hashes de archivos SHA1 para los distintos componentes del troyano en GitHub, en caso de que algunos administradores de sistemas quieran analizar sus sistemas en busca de la presencia de esta amenaza relativamente nueva.
Desde Latin Linux queremos reforzar algunos tips para evitar contaminarse!
- Evitar el uso de SUDO si no es necesario
- Evitar instalar programas desde fuentes desconocidas
- Evitar añadir repositorios externos que no esten verificados o sean oficiales
El mejor antiviruz es el usuario