Seis nuevos troyanos para Linux descubiertos en los últimos 30 días

Comienza a ser habitual que los usuarios que hagan uso de distribuciones Linux tengan que tener cierta precaución a la hora de llevar a cabo la descarga de contenidos. En esta ocasión, expertos en seguridad de varias firmas de seguridad han detectado el troyano Linux.DDoS.93 infectando estos dispositivos y utilizándolos para llevar a cabo ataques de denegación de servicio.

Los encargados de descubrir la amenaza indican que esta llega a los equipos a través de la vulnerabilidad Shellshock, que tal y como suele ser habitual, aún existe una gran cantidad de dispositivos que no han parcheado este fallo de seguridad detectado hace ya mucho tiempo.

Cuando el troyano llega al dispositivo lleva a cabo la modificación del archivo var/run/dhcpclient-eth0.pid para conseguir persistencia siempre que el dispositivo se reinicie. En el caso de no existir este fichero, el troyano llevará a cabo su creación de forma automática con el código necesario.

Cuando el sistema se inicia, el troyano dispone de dos procesos: el primero de ellos es el encargado de establecer y gestionar las comunicaciones con el servidor de control, mientras el segundo se encarga que el proceso padre y siempre esté en ejecución.

Hasta 25 subprocesos en el sistema Linux infectado

Además de establecer la comunicación con un servidor de control y comprobar el estado de la conexión a Internet, es capaz de descargar e instalar actualizaciones, enviar paquetes haciendo uso de diferentes protocolos, eliminarse a si mismo o desinstalar e instalar otras versiones existentes. Para ellos, los expertos en seguridad han detectado que del proceso padre cuelgan al menos 25 procesos que no provocan ningún tipo de mal funcionamiento del sistema operativo, buscando sobre todo pasar desapercibido.

Ejecución selectiva en función del sistema

Expertos en seguridad han sido capaces de analizar el comportamiento de la amenaza, observando que nada más llegar se produce un análisis del entorno y en el caso de detectar alguna de las siguientes palabras:

privmsg
getlocalip
kaiten
brian krebs
botnet
bitcoin mine
litecoin mine
rootkit
keylogger
ddosing
nulling
hackforums
skiddie
script kiddie
blackhat
whitehat
greyhat
grayhat
doxing
malware
bootkit
ransomware
spyware
botkiller

Tal y como se puede observar, la inmensa mayoría de las palabras citadas pertenecen a herramientas de seguridad, pretendiendo de alguna forma evitar que se realice ingeniería inversa y descubrir los entresijos de la amenaza. Durante el proceso, también se produce una búsqueda de otras versiones de la amenaza, llevando a cabo su desinstalación para dejar aquella más reciente.

En las últimas semanas las distribuciones Linux se ha convertido en un hervidero de malware, apareciendo cada poco tiempo algún troyano cuya intención no es otra que llevar a cabo ataques de denegación de servicio haciendo uso del equipo infectado, en su mayoría servidores.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Qué bueno que esto sea más evidente últimamente!
Las peores amenazas son las desconocidas, sabrá kernel cuántos rootkits,troyanos y más merodean en el anonimato.

No hay sistema seguro, pero Gnu/linux sigue siendo de lo más bello.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Qué bueno que esto sea más evidente últimamente!
Las peores amenazas son las desconocidas, sabrá kernel cuántos rootkits,troyanos y más merodean en el anonimato.

No hay sistema seguro, pero Gnu/linux sigue siendo de lo más bello.

Que párrafo más pretty me ha gustado como has trazado las palabras y cuanta realidad, significado tienen y es realmente
una preocupación. Realmente a mi no me preocupa lo que puedo controlar pero sí lo que desconozco, dispongo de herra-
mientas que me muestran entradas del registro,Startups,servicios, hide folders, Chekean el mbr, accedo a los distintos
anillos del Kernell entrecomillas , veo los hookeos de dlls,veo los Alternate Data Stream,me comprueba las firmas, me
muestran las conexiones activas,escucha,finalizadas, me comprueba las modificaciones de las extensiones, puedo sca
near en tiempo real files, puedo acceder al lugar,espacio de  memoria en donde está cargado el ejecutable y puedo hacer
muchas más cosas.
Y aún con todo lo que he explicado y seguro se me ha olvidado algo no puedo afirmar que no esté infectado a nivel kernell

PD:Gracias por tenernos informados Gabriela

Hacer hardening de seguridad a la distribución que tengas como principal. Mantener los antirootkits al dia, y darle escaneo periódico. Tambien tenes Antivirus para Linux, como el CLAMAV, que es opensource. Bastante efectivo. Y la ultima version estable actualizada es del 03 de Mayo del 2016.

Hay otro tipos de prevenciones tambien en modo paranoico pero no creo que vengan al caso aca, jeje.

Saludos.

Personalmente creo que si algo se creó para el bien, siempre se podrá crear y/o usar para el mal.

Por tanto, para que no existan vulnerabilidades, no deberían existir los sistemas operativos. Así de simple.

Sino, usar un ordenador desconectado de la red o usar una máquina virtual exclusivamente para navegar. De esa forma, aunque se infecte, en el 99.9% de los casos, el equipo host no se verá afectado.

PD: Muy buena la Información aportada en el post.