#ref-menuHackers están secuestrando sistemas Linux mediante versiones troyanizadas de OpenSSH
Microsoft afirma que los dispositivosLinux e Internet de las Cosas (IoT) expuestos a Internet están siendo secuestrados en ataques de fuerza bruta como parte de una campaña de cryptojacking observada recientemente.
Después de obtener acceso a un sistema, los atacantes implementan un paquete OpenSSH troyanizado que les ayuda a acceder a los dispositivos comprometidos y robar las credenciales de SSH para mantener la persistencia.
“Los parches instalan ganchos que interceptan las contraseñas y claves de las conexiones SSH del dispositivo, ya sea como cliente o como servidor”.
“Además, los parches permiten el inicio de sesión root a través de SSH y ocultan la presencia del intruso al suprimir el registro de las sesiones SSH de los atacantes, que se distinguen por una contraseña especial".
El script de shell de puerta trasera implementado al mismo tiempo que el binario OpenSSH troyanizado agrega dos claves públicas al archivo authorized_keys para acceso SSH persistente.
Además, permite a los hackers recolectar información del sistema e instalar los rootkits LKM de código abierto Reptile y Diamorphine para ocultar la actividad maliciosa en los sistemas hackeados.
Los atacantes también usan la puerta trasera para eliminar a otros mineros al agregar nuevas reglas de iptables y entradas a /etc/hosts para reducir el tráfico a los hosts y las IPs utilizadas por los competidores de cryptojacking de la operación.
"También identifica los procesos y archivos mineros por sus nombres y los finaliza o bloquea el acceso a ellos, y elimina el acceso SSH configurado en claves_autorizadas por otros adversarios".
-Microsoft.
Malware
Una versión del bot IRC de código abierto ZiggyStarTux también implementada en el ataque viene con capacidades de denegación de servicio distribuida (DDoS) y permite a los operadores ejecutar comandos bash.
El malware de puerta trasera utiliza múltiples técnicas para garantizar su persistencia en los sistemas comprometidos, duplicando el binario en varias ubicaciones de disco y creando trabajos cron para ejecutarlo periódicamente.
Además, registra ZiggyStarTux como un servicio de systemd, configurando el archivo de servicio en /etc/systemd/system/network-check.service.
El tráfico de comunicación del servidor de comando y control entre los bots de ZiggyStarTux y los servidores de IRC se camufla utilizando un subdominio que pertenece a una institución financiera legítima del sudeste asiático alojada en la infraestructura del atacante.
Mientras investigaba la campaña, Microsoft observó que se instruía a los bots para que descargaran y ejecutaran scripts de shell adicionales para aplicar fuerza bruta a cada host en vivo en la subred del dispositivo hackeado y la puerta trasera en cualquier sistema vulnerable que usara el paquete OpenSSH troyanizado.
Después de moverse lateralmente dentro de la red de la víctima, el objetivo final de los atacantes parece ser la instalación de malware de minería dirigido a sistemas Hiveon OS basados en Linux diseñados para criptominería.
"La versión modificada de OpenSSH imita la apariencia y el comportamiento de un servidor OpenSSH legítimo y, por lo tanto, puede representar un mayor desafío para la detección que otros archivos maliciosos".
"El OpenSSH parcheado también podría permitir que los atacantes accedan y comprometan dispositivos adicionales. Este tipo de ataque demuestra las técnicas y la persistencia de los adversarios que buscan infiltrarse y controlar los dispositivos expuestos".
Los 8 mejores antivirus y antimalware para Linux
Ver màs acerca en: 1000 Tips Informáticos https://ift.tt/8MIdKku
via 1000 Tips Informàticos
