This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

RÉPLICA EN LLAMAS: noticias rootkit Linux "proporciona algo de alivio cómico"

Filed Under: Featured, Linux, Malware

Hace unas dos semanas, una publicación en la Lista de Divulgación de correo completa anunció un nuevo rootkit Linux.

De hecho, la publicación no se limitó a anunciar el malware, pero incluyó una muestra completamente funcional.

Para aquellos no familiarizados con las carreteras y caminos en línea de seguridad de la información, divulgación completa es toda una institución.

A medida que la lista en sí, señala, el "ambiente relajado [...] proporciona cierto alivio cómico y chismes determinado sector," pero con la advertencia de que "la mayoría de los puestos son tonterías sin valor, por lo que encontrar las gemas que tener paciencia".

Aunque no suelo condonar la difusión pública y abierta de códigos maliciosos, poco daño se hizo en este caso. El rootkit no se propague o instalarse, y está ligado a una versión específica de Linux.

(Si usted está interesado en los detalles de este malware, se puede leer un análisis paso a paso publicado por una empresa de EE.UU. moderadamente misteriosa llamada Crowdstrike.)

Pero ¿qué es un rootkit? ¿Es esto algo nuevo en Linux?

No, en absoluto.

Julian Assange, por ejemplo, ahora más conocido por haber sido encerrado en la embajada de Ecuador en Londres, trabajó en un proceso transparente y negable sistema de cifrado de disco a finales de la década de 1990. Este sistema funcionaba con Linux, entre otros, y se utilizan técnicas de rootkit.

De hecho, el término rootkit originalmente provenía del mundo UNIX. Se describe el conjunto de herramientas de software que un hacker podría utilizar para entrar en un sistema, adquirir acceso administrativo (conocida como conseguir la raíz, después de que la cuenta de superusuario, llamado raíz), y luego ocultar su presencia.

Estos días, sin embargo, rootkits se asocian más comúnmente con Windows. La tecla "característica" de cualquier rootkit moderna no es que adquiera el acceso administrativo - que no es necesario para el malware, aunque sin duda es muy práctico - pero que proporciona una capa de sigilo. Una cortina de humo, si se quiere, en contra de detección.

Este nuevo rootkit, detectado por los productos de Sophos como Troj / SrvInjRk A-, utiliza una gran variedad de técnicas de ocultación, y nos recuerda que el mismo tipo de engaño malware que puede ser forjado en contra de Windows puede ser forjado en contra de Linux, también.

Windows y Linux (y OS X, para el caso) son, desde un punto de vista arquitectónico de alto nivel, mucho más similares que diferentes.

En términos generales, el sistema operativo está dividido en dos.

Hay una parte userland, donde los programas se ejecutan como su servidor web, su editor de imágenes y Bloc de notas. Y hay una parte del núcleo, que se puede considerar como un "administrador administrador" el, para gestionar todo lo demás - la memoria, el uso de la CPU, el acceso a los discos y otros dispositivos de hardware, así como los programas que ir a correr, y lo que se les permite hacer.

Así malware que puede cargar en el interior del núcleo - como este rootkit hace - tiene una serie de ventajas. En primer lugar, se está ejecutando en un pie de igualdad con el código de otro kernel que gestiona la seguridad del más alto nivel, con menos privilegios espacio de usuario. En segundo lugar, se pone a ver, y, por su diseño, ajustar y modificar, todo lo que viene del espacio de usuario o se devuelve a la misma.

Por ejemplo, después de Troj / SrvInjRk-A cargas, parchea una serie de funciones del sistema del núcleo. Usted puede ver los parches aquí:

Las funciones vfs_read y tratar vfs_readdir con acceso a los archivos y directorios (vfs es sinónimo de sistema de archivos virtual). Casualmente modificar las funciones del kernel como este es tremendamente arriesgado, por supuesto, pero para un autor de malware, es lo suficientemente bueno.

Y enganchando tcp_sendmsg, el malware es capaz de inspeccionar los paquetes de red después de que han sido transmitidos por el servidor web, y modificarlos "en vuelo" para incluir contenido malicioso. Esto significa que el contenido malicioso ni siquiera existe en el espacio de usuario - ni el disco ni en memoria.

Curiosamente, el malware contiene una lista de 854 números IP e intervalos a los que se niega a enviar contenido modificado. La lista es una mezcla ecléctica, ya que incluye tanto a los servidores de Google y lo que parecen ser los teléfonos móviles, pero nos recuerda lo fácil que es para los cibercriminales para presentar una apariencia de dos caras al mundo.

Si los motores de búsqueda no detectar el malware mientras están spidering, y si los administradores de sistemas o diseñadores web no aparece el contenido alterado incluso cuando están mirando hacia fuera para los cambios, el malware probablemente sobrevivirá inadvertido durante más tiempo.

¿Podría estar infectado con este malware sin ser consciente de ello?

La buena noticia es que eso es poco probable.

Usted necesitaría estar ejecutando el kernel Linux 2.6.32-5 etiquetados-amd64 - que más o menos significa que la versión de 64 bits de Debian Squeeze 6.0.0. Y tendrá un módulo del kernel inesperado llamado / lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko.

No sabemos donde esta cosa vino. Crowdstrike sugiere que, "[b] asándose en las herramientas, técnicas y procedimientos empleados y alguna información de fondo que no puede revelar públicamente, un atacante con sede en Rusia es probable", pero ese tipo de sugerencia sin fundamento no ayuda realmente.

En resumen, nunca se sabe probablemente que escribió esto. Pero es una prueba más de la existencia de los que niegan la posibilidad de malware Linux.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog