Fokirtor Backdoor Linux Inyecta tráfico en protocolo SSH.
A principios de esta semana que escribimos acerca de un Internet Explorer 0-day que utiliza una unidad en memoria por el ataque , que era muy inteligente. Ahora, otro nuevo tipo de malware ( una puerta trasera en este caso) , esta vez dirigido Linux conocida como Fokirtor .
No hay discusión real del exploit utilizado para plantar este backdoor (si se trataba de un exploit , hay otros canales) , pero la forma en que funciona es bastante interesante y sin duda nada que haya visto antes.
Los investigadores de seguridad han descubierto un backdoor Linux que utiliza un protocolo de comunicación secreta para ocultar su presencia en los sistemas comprometidos .
El malware ha sido utilizado en un ataque contra un grande ( sin nombre) que recibe el abastecedor en mayo. Es inteligente intentó evitar que se disparen las alarmas mediante la inyección de sus propias comunicaciones en el tráfico legítimo , charla específicamente SSH. SSH es un protocolo que se utiliza para acceder a cuentas shell en Unix - como sistemas operativos , una actividad continua para la administración remota de los sitios web .
Los ciberdelincuentes desconocidos o ciberespías detrás de esa aparente ataque la información de registro del cliente , tales como nombres de usuario , correos electrónicos y contraseñas que utilizan el malware sutil y sigiloso , de acuerdo con un análisis de la puerta de atrás por los investigadores de seguridad de Symantec .
Además , el malware hace uso del algoritmo de cifrado Blowfish para cifrar archivos de datos robados u otras comunicaciones con una red de mando y control.
Es un método muy interesante , asumiendo la mayoría de servidores de Linux tienen SSH habilitado ( que tienden a ) - que permite a los atacantes para comunicarse en secreto sin activar ninguna alarma. La parte que me parece realmente interesante es que el malware utiliza un algoritmo de cifrado muy grave ( Blowfish) , en lugar de la media o un troyano de puerta trasera que sólo utiliza XOR o codificación Base64.
Los conspiradores entre nosotros probablemente encontrará esta apuntando a la participación gubernamental en el desarrollo de esta puerta trasera .
Los atacantes entienden el entorno de destino fue generalmente bien protegida . En particular , los atacantes necesitan un medio para evitar el tráfico de red sospechoso o archivos instalados , lo que puede haber provocado una revisión de seguridad . Demostración de sofisticación, los atacantes idearon su propio patio trasero Linux sigiloso para camuflarse en el Secure Shell (SSH ) y otros procesos del servidor.
Esta puerta trasera permite a un atacante realizar la funcionalidad habitual - como la ejecución de comandos remotos - sin embargo, la puerta trasera no abre un socket de red o intente conectarse a un servidor de comando y control ( C & C). Más bien, el código de puerta trasera se inyecta en el proceso de SSH para controlar el tráfico de red y busque la siguiente secuencia de caracteres : dos puntos , signo de exclamación , punto y coma , punto (" :; ! . ") .
Después de ver este patrón , la puerta trasera sería analizar el resto del tráfico y a continuación, extraer comandos que habían sido cifrados con Blowfish y codificado en Base64 .
La mayoría de las fuentes marcan esta amenaza como muy bajo , y no se ha visto mucho - por lo que puede haber sido un ataque muy específica y algunos especulan que puede ser algo que ver con el caso GCHQ / Belgacom .
Será interesante ver si Fokirtor se encuentra en ningún otro lugar , hay cierta información muy básica sobre él de Symantec aquí: Linux.Fokirtor y un poco más aquí Linux Back Door utiliza el protocolo de comunicación secreta .
De alguna manera me recuerda a golpes de cerdo - fwknop - Port Tool golpea con autorización solo paquete .
Fuente : The Register
Traduccion: Dellcom1@.
Saludos Mundo Libre.
