馃槑 60% Descuento:  Curso de Hacking Redes Inal谩mbricas >> Ver M谩s

Este nuevo y sigiloso malware roba datos de dispositivos Linux

Investigadores han descubierto un nuevo malware malicioso para Linux que utiliza puertas traseras para robar datos. Este malware puede afectar todos los procesos que se ejecutan en una m谩quina en particular.

El malware, denominado Orbit, se diferencia de otras amenazas de Linux en que roba informaci贸n de diferentes comandos y utilidades. Posteriormente, el malware almacena la informaci贸n robada en archivos espec铆ficos en la m谩quina, seg煤n revelaron los investigadores de la firma de automatizaci贸n de seguridad Intezer. De hecho, el nombre del malware proviene de uno de los nombres de archivo para almacenar temporalmente la salida de los comandos ejecutados. 

Orbit puede lograr la persistencia en una m谩quina o instalarse como un implante vol谩til, explic贸 Nicole Fishbein de Intezer en una publicaci贸n realizada la semana pasada.

El malware se distingue de amenazas similares por su “enganche casi herm茅tico” de bibliotecas en las m谩quinas objetivo, Esto le permite ganar persistencia y evadir la detecci贸n mientras roba informaci贸n y configura la puerta trasera SSH. 

鈥淓l malware implementa t茅cnicas avanzadas de evasi贸n y gana persistencia en la m谩quina al conectar funciones clave. Asimismo, brinda a los atacantes capacidades de acceso remoto a trav茅s de SSH, recopila credenciales y registra comandos TTY鈥.

Fishbein

Adem谩s, una vez que se instala Orbit, infecta todos los procesos en ejecuci贸n en la m谩quina, incluidos los nuevos.

Un malware distinto

OrBit no es el primer malware de Linux altamente evasivo que ha surgido recientemente, capaz de usar enfoques similares para comprometer completamente los dispositivos con puerta trasera.

Symbiote tambi茅n usa la directiva LD_PRELOAD para cargarse en procesos en ejecuci贸n, actuando como un par谩sito en todo el sistema y sin dejar signos de infecci贸n.

BPFDoor, otro malware detectado recientemente que se dirige a los sistemas Linux, se camufla usando los nombres de los demonios comunes de Linux. Esto le ayud贸 a pasar desapercibido durante m谩s de cinco a帽os.

Ambas cepas utilizan la funcionalidad de enlace BPF (Berkeley Packet Filter) para monitorear y manipular el tr谩fico de la red. En otras palabras, pueden  ocultar sus canales de comunicaci贸n de las herramientas de seguridad.

Por lo general, las amenazas de Linux como Symbiote y HiddenWasp, secuestran las bibliotecas compartidas de Linux modificando la variable de entorno LD_PRELOAD. Sin embargo, Orbit funciona de manera diferente, utilizando dos formas diferentes de cargar la biblioteca maliciosa. 

La primera forma es agregando el objeto compartido al archivo de configuraci贸n que usa el cargador. La segunda forma es parcheando el binario del propio cargador para que cargue el objeto compartido malicioso. 

Espec铆ficamente, Orbit usa cadenas cifradas XOR y roba contrase帽as, t谩cticas que son similares a otras puertas traseras de Linux ya reportadas por investigadores de   ESET. 

Pero ah铆 es donde termina la similitud con la forma en que esas puertas traseras secuestran bibliotecas. Orbit va un paso m谩s all谩 no solo al robar informaci贸n de diferentes comandos y utilidades, sino tambi茅n al implementar “un uso extensivo de archivos” para almacenar los datos robados, algo que los investigadores no hab铆an visto antes.

Instalaci贸n y Ejecuci贸n

Orbit se carga en una m谩quina o dispositivo Linux a trav茅s de un instalador que no solo instala el payload, sino que tambi茅n prepara el entorno para la ejecuci贸n del malware.

Para instalar el payload y agregarlo a las bibliotecas compartidas que est谩 cargando el enlazador din谩mico, el instalador llama a una funci贸n llamada patch_ld y luego al enlace simb贸lico del enlazador din谩mico /lib64/ld-linux-x86-64.so.2. Esto 煤ltimo se hace para verificar si el payload malicioso ya est谩 cargado buscando la ruta utilizada por el malware. 

Si se encuentra el payload, la funci贸n puede intercambiarlo con la otra ubicaci贸n. De lo contrario, el instalador busca /etc/ld.so.preload y lo reemplaza con un enlace simb贸lico a la ubicaci贸n de la biblioteca maliciosa: /lib/libntpVnQE6mk/.l o /dev/shm/ldx/.l, seg煤n el argumento pasado al instalador.

Por 煤ltimo, el instalador agrega /etc/ld.so.preload al final del archivo temporal para asegurarse de que la biblioteca maliciosa se cargue primero

El payload en s铆 es un objeto compartido (archivo .SO) que se puede colocar en almacenamiento persistente o en memoria. Si se coloca en la primera ruta, el malware ser谩 persistente; de 鈥嬧媗o contrario, ser谩 vol谩til. 

El objeto compartido enlaza funciones de tres bibliotecas: libc, libcap y m贸dulo de autenticaci贸n conectable (PAM). Una vez hecho esto, los procesos existentes que usan estas funciones esencialmente usar谩n las funciones modificadas, y los nuevos procesos tambi茅n se infectaran con la biblioteca maliciosa. 

Este enlace permite que el malware infecte toda la m谩quina y recolecte credenciales, evada la detecci贸n, gane persistencia y brinde acceso remoto a los atacantes.

T谩cticas de evasi贸n

Orbit tambi茅n utiliza m煤ltiples funciones como su estrategia para evadir la detecci贸n, evitando as铆 que liberen informaci贸n que pueda revelar la existencia de la biblioteca compartida maliciosa, ya sea en los procesos en ejecuci贸n o en los archivos que usa Orbit.

El malware utiliza un valor GID codificado (el que establece el instalador) para identificar los archivos y procesos que est谩n relacionados con el malware. Y, en base a eso, manipula el comportamiento de las funciones infectadas. En Linux, un GID es un valor num茅rico que se usa para representar un grupo espec铆fico.

Como ejemplo de esta funcionalidad, Orbit infecta readdir, una funci贸n de Linux que devuelve un puntero a una estructura directa que describe la siguiente entrada de directorio en el flujo de directorio asociado con dirp, para verificar el GID del proceso de llamada. 

Si no coincide con el valor codificado, todos los directorios con el valor GID predefinido se omiten de la salida de la funci贸n.

Deja un comentario

Adquiere tu Membres铆a Anual Wiser

Adquiere tu Membres铆a Anual Wiser y adquiere grandes beneficios

M谩s informaci贸n