Linux/Snakso.A: rootkit diseñado para inyectar Iframe en servidores web

Se descubrió un rootkit diseñado para servidores Linux y cuyo objetivo es inyectar etiquetas Iframe en páginas web legítimas para redirigir a los usuarios hacia sitios maliciosos. Detectado por algunas empresas como Linux/Snakso.A, esta amenaza fue reportada por un administrador de sistemas que se dio cuenta a través del reclamo de algunos usuarios, que su servidor HTTP proxy Nginx, estaba redirigiendo a los internautas hacia páginas web maliciosas. Inmediatamente, el personal encargado de dicho sistema Linux, comenzó a investigar qué estaba sucediendo. En primera instancia notaron que las respuestas HTTP contenían un Iframe inyectado. Posteriormente, y tras varios análisis que realizaron sobre el servidor infectado, encontraron un rootkit de kernel y algunos procesos ocultos en el sistema como "write_startup_c" y "get_http_inj_fr". Con todos estos antecedentes reunidos, los administradores comunicaron los hallazgos y la muestra del rootkit en una lista pública de investigación. A continuación se muestra una captura con parte del mensaje que compartieron estas personas:


En este caso, el sistema infectado se trata de un servidor proxy Nginx montado en Debian. Por su parte, Linux/Snakso.A es un rootkit diseñado para funcionar en ambientes Linux de 64 bits y ha sido compilado para la versión 2.6.32-5 de Debian. Cuando esta amenaza se inicia, contacta a un servidor externo para comprobar qué tipo de inyección debe realizar, si una etiqueta Iframe o un fragmento de código Javascript. Dependiendo de la respuesta que se dé, este rootkit procede a modificar el tráfico HTTP utilizando la función tcp_sendmsg. Luego, intenta determinar el tipo de contenido de la respuesta para compararlo con una lista propia y proceder a la inyección. De acuerdo a CrowdStrike, Snakso posee la particularidad de utilizar el módulo de kernel zlib para descomprimir la respuesta en caso de que esta se encuentre comprimida con gzip. Una vez que la descomprime, inyecta código para posteriormente volver a comprimirla. Esta acción podría degradar el rendimiento del servidor, lo que lograría contribuir al descubrimiento de este código malicioso. Asimismo, este rootkit no verifica que el estado del tráfico a comprometer sea HTTP 200 (este número significa que está todo bien), sino que comprueba que la página no sea algún error 403, 304 o 404 (no se encuentra en el servidor). Una falla de diseño de esta técnica de "validación", cuyo objetivo es encubrir la acción maliciosa de Snakso, es que no consideró el error 400 (solicitud incorrecta), motivo por el cual los administradores del servidor se dieron cuenta de tal infección.
Aunque no se trata de un rootkit complejo y algunos errores en su diseño interno permitieron su detección de forma relativamente rápida, sí demuestra que los cibercriminales están optimizando los mecanismos por los cuales comprometen sitios web legítimos para propagar códigos maliciosos. Por otro lado, este caso se suma al descubrimiento de otro rootkit que aunque no fue diseñado para inyectar etiquetas Iframe, afecta a otro sistema operativo poco usual en cuanto a malware.

También es importante mencionar que este tipo de acontecimientos reafirman la importancia comenzar a implementar algun tipo de seguridad en su sistema GNu/Linux, es muy recomendable considerar desde ahora el aspecto de protección tecnológico que tenemos sobre nuestra computadora e información.

Fuente: Laboratorios ESET