Rakos, un backdoor para Linux que brinda acceso total al sistema

Escrito por Rubén Velasco
GNU Linux
3

Es cierto que Linux no es el sistema operativo más utilizado en ordenadores a nivel doméstico, sin embargo, la mayoría de los servidores conectados a Internet sí que cuentan con este sistema operativo, por lo que, poco a poco, el interés de los piratas informáticos por este sistema operativo está aumentando y, en poco tiempo, ha pasado de ser un sistema operativo seguro a ser casi tan vulnerable como sus rivales Windows y macOS en cuanto a software malicioso.

Recientemente, la empresa de seguridad ESET ha descubierto un nuevo malware que afecta tanto a servidores como a todo tipo de dispositivos Linux (especialmente del Internet de las Cosas) que, una vez logra infectar un dispositivo, brinda a los piratas informáticos control total sobre el mismo, dejando una puerta abierta para llevar a cabo todo tipo de actividades, por ejemplo, realizar ataques DDoS.

Este nuevo malware, llamado Rakos, cuenta con un bot que busca servidores SSH abiertos e intenta establecer conexión con ellos a través de la fuerza bruta. De conseguirlo, instala el malware en el servidor o dispositivo de manera que ya quede infectado y bajo el control de estos piratas.

Cuando Rakos se instala en un sistema vulnerable, automáticamente habilita un servidor HTTP en la dirección “http://127.0.0.1:61314” que puede ser utilizado con distintos fines, aunque el principal de ellos es garantizar una ruta alternativa para distribuir las actualizaciones del malware a los sistemas infectados sin que durante el proceso el malware pueda quedar inutilizado.

Una vez que el servidor HTTP está en funcionamiento, Rakos comienza a recopilar todo tipo de información (usuarios, contraseñas, IPs, etc) que se encuentren en el equipo y la envía a un servidor C&C controlado por los piratas informáticos. También guarda varias copias de su archivo de configuración en el sistema para garantizar que sus dueños van a tener siempre acceso al equipo y no que, por un fallo, se pueda perder esta configuración.

Cómo podemos desinfectar nuestro sistema o dispositivo Linux de Rakos

La primera de las muestras de este malware es que crea un proceso llamado .javaxxx. Si tenemos este proceso en nuestro sistema es muy probable que estemos infectados por Rakos, por lo que, antes de continuar, es recomendable matar este proceso para detener la infección. Como el malware no está configurado para que arranque automáticamente, sino que debe lanzarse manualmente, reiniciando el sistema el malware se detendrá igualmente, aunque seguiremos expuestos y es probable que, en poco tiempo, los piratas informáticos vuelvan a activar el malware.

Por ello, tanto si hemos sido infectados como si no, es recomendable cambiar la contraseña de nuestro servidor SSH por defecto por una más larga y segura ya que, de hacer esto, los piratas informáticos no tendrán ninguna forma de conseguir acceder de nuevo al sistema a través de este protocolo. Como hemos dicho, al hacer uso de la fuerza bruta para lograr acceso remoto a los dispositivos, solo aquellos que utilicen contraseñas muy débiles terminarán siendo infectados.

¿Crees que el malware para Linux se está convirtiendo en algo tan preocupante como lo es para Windows, especialmente de cara al Internet de las Cosas?


Continúa leyendo
  • Ahiezer Alvarez

    “Acceso tal” ? , acaso ese malware tiene un 0day o como le hace.

  • MrJousseph

    Las cosas siempre incongruentes dice que hace fuerza bruta por ssh y yo he trabajado por ssh y les cuento que eso es tan delicado que si te equivocas dos veces esto se cierra por lo que debes abrir un archivo host en home editarlo como superusaurio para poder volver a que te permita intentar meter otra contraseña y acceder, esto es demasiada pajeria en gnu/linux puros intentos de descalificaciones y no explican las cosas con bases.

  • Alex GamerZ

    Meh, tonterías. Los ataques por fuerza bruta no sirven de nada y menos si es fuerza bruta total en vez de fuerza bruta dirigida. Cualquier sistema que sea vulnerable a este tipo de ataque es que esta administrado por un LOFH.
    Este backdoor se mitiga fácilmente con fail2ban y una contraseña fuerte y si eres tan paranoico como yo: deshabilitando el login por contraseña y usar estrictamente claves RSA de 4096 bits. GG EZ M8 L2P.

Últimos análisis

Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10