Comienza a ser habitual que los usuarios que hagan uso de distribuciones Linux tengan que tener cierta precaución a la hora de llevar a cabo la descarga de contenidos. En esta ocasión, expertos en seguridad de varias firmas de seguridad han detectado el troyano Linux.DDoS.93 infectando estos dispositivos y utilizándolos para llevar a cabo ataques de denegación de servicio.
Los encargados de descubrir la amenaza indican que esta llega a los equipos a través de la vulnerabilidad Shellshock, que tal y como suele ser habitual, aún existe una gran cantidad de dispositivos que no han parcheado este fallo de seguridad detectado hace ya mucho tiempo.
Cuando el troyano llega al dispositivo lleva a cabo la modificación del archivo var/run/dhcpclient-eth0.pid para conseguir persistencia siempre que el dispositivo se reinicie. En el caso de no existir este fichero, el troyano llevará a cabo su creación de forma automática con el código necesario.
Cuando el sistema se inicia, el troyano dispone de dos procesos: el primero de ellos es el encargado de establecer y gestionar las comunicaciones con el servidor de control, mientras el segundo se encarga que el proceso padre y siempre esté en ejecución.
Hasta 25 subprocesos en el sistema Linux infectado
Además de establecer la comunicación con un servidor de control y comprobar el estado de la conexión a Internet, es capaz de descargar e instalar actualizaciones, enviar paquetes haciendo uso de diferentes protocolos, eliminarse a si mismo o desinstalar e instalar otras versiones existentes. Para ellos, los expertos en seguridad han detectado que del proceso padre cuelgan al menos 25 procesos que no provocan ningún tipo de mal funcionamiento del sistema operativo, buscando sobre todo pasar desapercibido.
Ejecución selectiva en función del sistema
Expertos en seguridad han sido capaces de analizar el comportamiento de la amenaza, observando que nada más llegar se produce un análisis del entorno y en el caso de detectar alguna de las siguientes palabras:
privmsg
getlocalip
kaiten
brian krebs
botnet
bitcoin mine
litecoin mine
rootkit
keylogger
ddosing
nulling
hackforums
skiddie
script kiddie
blackhat
whitehat
greyhat
grayhat
doxing
malware
bootkit
ransomware
spyware
botkiller
Tal y como se puede observar, la inmensa mayoría de las palabras citadas pertenecen a herramientas de seguridad, pretendiendo de alguna forma evitar que se realice ingeniería inversa y descubrir los entresijos de la amenaza. Durante el proceso, también se produce una búsqueda de otras versiones de la amenaza, llevando a cabo su desinstalación para dejar aquella más reciente. Puedes ver para qué se utiliza OpenSSH.
En las últimas semanas las distribuciones Linux se ha convertido en un hervidero de malware, apareciendo cada poco tiempo algún troyano cuya intención no es otra que llevar a cabo ataques de denegación de servicio haciendo uso del equipo infectado, en su mayoría servidores.
Fuente | Softpedia