Entre agosto y octubre se detectó una campaña de infección con un nuevo malware, Linux Rabbit, pensado para minar Monero. Rabbit ataca servidores Linux de países específicos, establece conexión con el C&C mediante Tor, persiste en el dispositivo infectado, ataca con fuerza bruta SSH para obtener acceso al servidor e instala la versión más adecuada del código de minado a la arquitectura del dispositivo infectado. En la 2ª campaña de infección modificaron el malware creando un gusano denominado Rabbot para potenciar la infección de disp. IoT.
|
etiquetas: linux , rabbit , monero , criptomoneda , malware , criptominero
Relacionada: www.meneame.net/m/tecnología/nuevo-minador-linux-capaz-cambiar-contra
Aumenta el malware en linux: www.zdnet.com/article/eset-discovers-21-new-linux-malware-families/
La parte de "ataque por fuerza bruta ssh" me da que se te ha olvidado antes de comentar.
Seguro que se están dando de hostias para ser el primero que sube alguna actualización.
... cosa que no sería así si el código lo conociesen solo 300 ingenieros de Micro$oft, como ocurre con Windows, en lugar de todo el mundo, como pasa con Linux.
Aún así, el otro comentario era una coña, no decía en serio que era un virus estrictamente hablando.
#5 No, el malware no entra por fuerza bruta. El ataque de fuerza bruta es un paso posterior a la infección, con el objectivo de acceder a servidores. El vector de infección inicial, según la noticia en inglés, no está del todo claro: "This campaign was conducted by unknown threat actors and it is currently unclear what the initial infection vector is"
¿Cuál fue el vector inicial de wannacry? porque por la red interna está claro cómo se propagó pero ¿cómo llegó a la red interna?
Luego, para los ataques de IoT explota vulnerabilidades.
El tema es que el malware se cuela y está infectando y cada vez hay más noticias de estas. Imaginaos si Linux tuviese un 90% de cuota en escritorios, con lo manazas que son los usuarios.
Un par de cosas:
Rabbot ataca al "internet de las cosas", a routers, cámaras, etc.
Quien "ataca" a la gente "a través de la web" es rabbit, y lo que hace es modificar las páginas para que carguen un javascript de minado, así cuando la gente entra con su navegador a esa web, ejecutan el script y minan, pero no hay vulnerabilidades en los "clientes web" (navegadores) que rabbit aproveche.
unaaldia.hispasec.com/2012/03/el-malware-de-la-policia-aprovecha-un-ex
Aún así, lo de siempre, java desactualizado y activo en el navegador.
www.anomali.com/blog/pulling-linux-rabbit-rabbot-malware-out-of-a-hat
Hay varias fases:
1) Se instala en routers de algunos países mediante vulnerabilidades remotas conocidas. El articulo incluye una lista modelos afectados.
2) Desde estos routers intenta hacer fuerza bruta via ssh a servidores linux.
3) Si consigue entrar en algún servidor mediante fuerza bruta, trata de instalar los JS para minar. Se mina luego en los clientes que visitan la web.
En ningún momento hablan de linux escritorios ni siquiera de problema en servidores actualizados. Solo afecta a ciertos modelos de routers.
Hay dos variantes, la primera ataca a máquinas, ordenadores incluidos, con linux y gana persistencia modificando los archivos “rc.local” y “.bashrc”
La segunda ataca a routers y dispositivos IoT aprovechando vulnerabilidades y es lo que tú dices, pero la primera ataca a equipos con linux, no solo a routers.