El malware FontOnLake puede apuntar a sistemas Linux

Documentación publicada por Internet Security Company, ESET, 7 de octubreeldio detalles de una familia de malware menos conocida que apareció en mayo del año pasado, incluidos detalles que son muy importantes para el mundo de Linux, especialmente aquellos que usan sistemas RedHat Enterprice Linux heredados para servidores de producción.

Una familia de malware llamada FontOnLake utiliza módulos personalizados que brindan acceso remoto a los sistemas infectados mediante un rootkit para ocultar la infección. El malware puede recopilar credenciales y también actúa como un servidor proxy utilizando componentes avanzados que se pueden dividir en tres categorías, según un comunicado de ESET:

  • Los troyanos son binarios legítimos que se modifican para descargar componentes adicionales,
    recopilar datos o llevar a cabo otras actividades maliciosas
  • Las puertas traseras son componentes del modo de usuario que sirven como el principal punto de comunicación para sus operadores.
  • Los rootkits son componentes del modo kernel que en su mayoría ocultan y enmascaran su presencia, ayudan con las actualizaciones,
    o proporcionar puertas traseras de repuesto.

La documentación también dio una idea de las precauciones tomadas por los operadores de malware, “Creemos que sus operadores son demasiado cuidadosos, ya que casi todos los modelos usan servidores C&C diferentes y únicos con diferentes puertos no estándar. Los autores utilizan principalmente C / C ++ y varias bibliotecas de terceros, como Promoción, poco y Protoaficionado. Ninguno de los servidores de gestión y control utilizados en las muestras descargadas a VirusTotal estaba activo en el momento de escribir este artículo, lo que sugiere que pueden haberse desactivado debido a la descarga. Realizamos varios escaneos de Internet que simularon la transmisión inicial de protocolos de red enviados a puertos no estándar monitoreados para identificar servidores C&C y víctimas. Solo pudimos encontrar un servidor C&C activo, que básicamente se mantuvo en contacto con comandos de latidos personalizados y no proporcionó ninguna actualización sobre solicitudes explícitas”.

El malware contiene programas que probablemente se modificaron a nivel de código fuente y se reconstruyeron para realizar acciones maliciosas que no estaban presentes en las versiones originales, como recopilar datos confidenciales utilizando funciones modificadas como auth_contraseña desde sshd paquete. Actualmente se desconoce la forma en que estos paquetes y programas modificados se distribuyen entre las víctimas.

ESET también dijo que había detectado tres puertas traseras en malware usando asiio biblioteca con Promoción. La documentación detalla cómo funcionan las puertas traseras, qué comandos usan y cómo recopilan y almacenan la información que necesitan para funcionar.

En cuanto a los rootkits, la divulgación establece que todas las muestras de malware actuales están dirigidas a las versiones de kernel 2 6 32-696 el6 x86_64 y 3 10 0-229 el7 x86_64, que son kernels de RedHat Enterprise Linux más antiguos, sin embargo, a pesar de que son más antiguos , se debe tener en cuenta que una gran cantidad de servidores de producción aún pueden usar sistemas y kernels más antiguos para maximizar la estabilidad, o simplemente una mala práctica de administradores de sistemas más perezosos que siguen la mentalidad "si no está roto, no lo arregles". Otra cosa que debe tenerse en cuenta de la documentación son los comentarios en la sección de la conclusión, que establece

"Su escala y diseño avanzado muestran que los autores conocen bien la ciberseguridad y que estas herramientas pueden reutilizarse en futuras empresas". Y "Dado que la mayoría de las funciones están diseñadas solo para ocultar su presencia, transmitir comunicaciones y proporcionar una puerta trasera, creemos que estas herramientas se usan principalmente para mantener la infraestructura que sirve para otros propósitos maliciosos desconocidos".

Entonces, si bien un usuario doméstico típico puede no tener que preocuparse por su escritorio con Linux, esta información sigue siendo valiosa para tener en cuenta que, si bien muchas personas pueden presumir de la seguridad de los sistemas Linux, no es infalible, y el mantenimiento y las actualizaciones adecuados aún son necesarios. necesario para protegerse.

La documentación en formato PDF se puede encontrar en el sitio web de welivesecurity, el sitio web de seguridad de TI que brinda opiniones de expertos de ESET. https://www.welivesecurity.com/wp-content/uploads/2021/10/eset_fontonlake.pdf

Artículos de interés

Subir