Saludos Mundo Libre.
Fokirtor Backdoor Linux Inyecta tráfico en protocolo SSH.
A
principios de esta semana que escribimos acerca de un Internet Explorer
0-day que utiliza una unidad en memoria por el ataque , que era muy
inteligente. Ahora, otro nuevo tipo de malware ( una puerta trasera en este caso) , esta vez dirigido Linux conocida como Fokirtor .
No
hay discusión real del exploit utilizado para plantar este backdoor (si
se trataba de un exploit , hay otros canales) , pero la forma en que
funciona es bastante interesante y sin duda nada que haya visto antes.
Los
investigadores de seguridad han descubierto un backdoor Linux que
utiliza un protocolo de comunicación secreta para ocultar su presencia
en los sistemas comprometidos .
El malware ha sido utilizado en un ataque contra un grande ( sin nombre) que recibe el abastecedor en mayo. Es
inteligente intentó evitar que se disparen las alarmas mediante la
inyección de sus propias comunicaciones en el tráfico legítimo , charla
específicamente SSH. SSH
es un protocolo que se utiliza para acceder a cuentas shell en Unix -
como sistemas operativos , una actividad continua para la administración
remota de los sitios web .
Los
ciberdelincuentes desconocidos o ciberespías detrás de esa aparente
ataque la información de registro del cliente , tales como nombres de
usuario , correos electrónicos y contraseñas que utilizan el malware
sutil y sigiloso , de acuerdo con un análisis de la puerta de atrás por
los investigadores de seguridad de Symantec .
Además
, el malware hace uso del algoritmo de cifrado Blowfish para cifrar
archivos de datos robados u otras comunicaciones con una red de mando y
control.
Es
un método muy interesante , asumiendo la mayoría de servidores de Linux
tienen SSH habilitado ( que tienden a ) - que permite a los atacantes
para comunicarse en secreto sin activar ninguna alarma. La
parte que me parece realmente interesante es que el malware utiliza un
algoritmo de cifrado muy grave ( Blowfish) , en lugar de la media o un
troyano de puerta trasera que sólo utiliza XOR o codificación Base64.
Los
conspiradores entre nosotros probablemente encontrará esta apuntando a
la participación gubernamental en el desarrollo de esta puerta trasera .
Los atacantes entienden el entorno de destino fue generalmente bien protegida . En
particular , los atacantes necesitan un medio para evitar el tráfico de
red sospechoso o archivos instalados , lo que puede haber provocado una
revisión de seguridad . Demostración
de sofisticación, los atacantes idearon su propio patio trasero Linux
sigiloso para camuflarse en el Secure Shell (SSH ) y otros procesos del
servidor.
Esta
puerta trasera permite a un atacante realizar la funcionalidad habitual
- como la ejecución de comandos remotos - sin embargo, la puerta
trasera no abre un socket de red o intente conectarse a un servidor de
comando y control ( C & C). Más
bien, el código de puerta trasera se inyecta en el proceso de SSH para
controlar el tráfico de red y busque la siguiente secuencia de
caracteres : dos puntos , signo de exclamación , punto y coma , punto ("
:; ! . ") .
Después
de ver este patrón , la puerta trasera sería analizar el resto del
tráfico y a continuación, extraer comandos que habían sido cifrados con
Blowfish y codificado en Base64 .
La
mayoría de las fuentes marcan esta amenaza como muy bajo , y no se ha
visto mucho - por lo que puede haber sido un ataque muy específica y
algunos especulan que puede ser algo que ver con el caso GCHQ / Belgacom
.
Será
interesante ver si Fokirtor se encuentra en ningún otro lugar , hay
cierta información muy básica sobre él de Symantec aquí: Linux.Fokirtor y
un poco más aquí Linux Back Door utiliza el protocolo de comunicación
secreta .
De alguna manera me recuerda a golpes de cerdo - fwknop - Port Tool golpea con autorización solo paquete .
Fuente : The Register
Traduccion: Dellcom1@.
Saludos Mundo Libre.