Hace 6 años | Por mr_b a securityartwork.es
Publicado hace 6 años por mr_b a securityartwork.es

Esta semana hemos conocido que la empresa surcoreana NAYANA, proveedora de servicios web, sufrió un ataque de una variante del ransomware Erebus. El caso llamó la atención dado que infectó a 153 servidores, todos ellos con sistema operativo Linux, en el cual más de 3400 archivos se han visto afectados. En este artículo vamos a llevar a cabo un análisis sobre una muestra del ejecutable encargado de llevar a cabo la infección en esta última campaña de Erebus.

Comentarios

D

#22 oK!

f

#17 La B no creo que sea cierto, desde el momento que muchos servidores usan Linux. Quiero decir, son expertos (o se les supone) pero no son pocos, y el impacto potencial es alto.

D

#32 Pero los servidores no instalan software de "por ahi". Es un objetivo mucho mas complejo.

f

#33 No lo niego. Lo que digo es que son un objetivo goloso... mejor protegido, pero deseable

D

#34 Es digamos, otro mercado para los hackers, con otras caracteristicas. Aqui estabamos hablando en principio de cosas de usuario.

apetor

#33 Ni servidores ni desktops, ni linux ni mac ni windows tienen gusanos por instalar software de por ahi; en estos y otros casos hablamos de exploits como vector de entrada, no de hacer doble click en chochetejugoso.exe

mandelbr0t

#50 Le estoy dando click al fichero que has adjuntado pero no me abre

HaCHa

#4 O sea, que aquello era un colador del carajo. Chao.

Joanbtl

#4 Toda la razón, pero al tratarse de especulaciones preferí incluir únicamente la parte más técnica relacionada con la muestra disponible.

irrelevante.

#23 No tengo novia. Será porque uso linux en mis ratos libres

Jakeukalane

#25 será que no lo usas a tiempo completo.

D

#5 Aún así, en mi opinión, no deja de ser un vector abierto, sobre todo para usuarios nuevos. No sé si los has leído pero hay algunos comentarios bastante interesantes acerca de ello.

D

#6 Vector para ejecutar archivos que ya son ejecutables y están en el sistema.
Eso es como tener unas ganzúas para abrir la puerta de tu casa.

musg0

#7 creo que dicen que al descomprimir un zip o tar que guarde permisos puede haber posibilidades de que te pongan un archivo directamente ejecutable que parezca una imagen pero en realidad está ejecutando un script al abrirlo. y para colmo te pueden mostrar una imagen y no darte ni cuenta.
No dicen que el archivo. desktop tenga que existir de antes aunque pasarte un archivo .desktop existente también sea una opción.
Además, para añadir confusión, la extensión desktop puede ser opcional ya que en Linux se suele inspeccionar el contenido del archivo para saber qué tipo de archivo es.
A mí me parece un fallo de seguridad similar a los que se pueden hacer en Windows con la doble extensión e Invalida parcialmente el argumento de los que dicen que en Linux el usuario siempre tiene que marcar un archivo como ejecutable manualmente

D

#49 No es igual que el caso de las extensiones en Windows por que para empezar necesitas más acciones concretas por parte del usuario que que omita otros pasos.
El caso de Windows es un paso click y ejecutado. Configuración por defecto
El de Linux es primero no miro el contenido, segundo lo descomprimo, tercero tengo que usar un filemanager X con una configuracion Y, cuarto lo ejecuto.
Si cada uno de los pasos es una opción verdadero/falso, a cada paso la posibilidad de ejecución no deseada se reduce a la mitad.
Con 4 variables en el proceso en lugar de una como en windows las probabilidades son a groso modo la mitad de la mitad de la mitad.
No es lo mismo.
Además está tambien el tema de el conjunto de iconos que tenga el equipo instalado, rutas a los iconos, etc...
Vamos que es un exploit que si te funciona en Gentoo no te funciona en Centos etc...
Como decía más arriba son muchos "y si".

musg0

#65 En Reddit, menos Dolphin, el resto dice que lo ejecuta sin decir nada. 1 paso o 2 depende de cómo cuentes.
- Descargar archivo que te llega por email.
- Doble click y se descomprime
- "Uy qué tetas más bonitas. Quiero verlas en grande"

Y estás Infectado mientras ves una foto de una tía en tetas.

Yo lo veo muy similar a los ataques con ejecutables en .zip de la factura de Endesa o virus tipo IloveYou que te llegan por email. Que en algunos casos haya posibilidades de que el sistema te avise. Perfecto. Un poco más de seguridad, pero a un usuario zoquete se la cuelas perfectamente.
Incluso en Reddit han puesto que en algún caso el gesto de ficheros avisa diciendo que el archivo de la supuesta imagen es un archivo de texto y que si de verdad lo quieres ejecutar. Estoy seguro que mucha gente le daría a seguir en vez de discurrir que una imagen no puede ser un archivo de texto y que hay algo raro.

Para mí el problema mayor es que te pueden colar un ejecutable con permiso de escritura al descomprimir algo haciendo doble click, cuando se suponía que en Linux un usuario siempre tenía que marcar como ejecutable manualmente algo descargado de Internet.

D

#70 Con doble cick no se descomprime.
Y el paso de "Uy qué tetas más bonitas. Quiero verlas en grande" necesita otro click mas que no has puesto.
SIn el paso de descargar el archivo son al menos 3 pasos y muchas variables. En Windows sigue siendo un paso con configuración estandar sin variables.

musg0

#78 He hecho la prueba en Ubuntu y con doble click no me ha descomprimido automáticamente como dicen en Reddit, pero si descomprimo el archivo con botón derecho "extraer aquí" Veo un archivo de nombre CV.pdf con un icono convincente. Tanto en tar.gz como con .zip me ha guardado el permiso de ejecución al descomprimir, y como se usa el permiso de ejecución para asumir que el archivo .desktop es de confianza, en vez del nombre del archivo sale el nombre interno que hay en el archivo .desktop. Si le doy doble click para abrirlo pensando que es un PDF me infecto. Con botón derecho sólo me sale la opción "Abrir", así que no puedo siquiera intentar abrirlo con un lector de PDF.

Dirás lo que quieras pero es lo mismo que descargarte un .zip de un email que dice ser la factura de Endesa y el archivo Interno sea un archivo .pdf.exe. Si lo abres porque si no ves la extensión .exe crees que es un pdf te infectas.

D

#79 No es lo mismo por que en Linux la gente usa más de un administrador de ficheros (o en modo texto como mi caso) , más de una configuración, etc... Por que no existe siquiera el concepto de "administrador de archivos por defecto para Linux"
La única variable no es el click.
En todos los Windows sin excepción desde el 95 hasta el windows 10 tienes un administrador de ficheros que es el explorer.
Eso no ha pasado en ninguna distribución de Linux en la historia.
La desuniformidad de Linux de la que muchos no linuxeros se quejan es una de sus grandes ventajas y potenciales.
Y la uniformidad de Windows que la mayoría de usuarios de Windows alaba es uno de sus mayores talones de Aquiles.

kurtz_B

#7 y qué ganzúas!
un wget por allí, un ssh reverso en tu usuario por allá, un poquito de crontab -e por acá...

sin ser cerrajeros, esas tres vienen casi instaladas por defecto.

D

#5 >Pero lo más importante, sigues sin poder ejecutar nada que venga en el archivo. Por que .desktop o no un archivo no ejecutable en Linux no se ejecuta lo llames como lo llames.

Sí puedes.

D

#39 No.
Lo que es afirmado sin pruebas puede ser negado sin pruebas.
Christopher Hitchens

D

#62 Los desktop no dependen de permisos, se pueden ejecutar o bien con X DG-open, o con el escritorio de turno. Y creo que hasta con DBUS.

D

#67 ¿Se pueden ejecutar con el Midnight Commander? lol lol

D

#69

Pero en un escritorio, sí.

kurtz_B

#5 a mi me la hubieran colado en Mate. Limpiamente. Normalmente las ventanas las tengo en modo lista, ahí ha salido un icono raro que no suelo ver. En modo Compacto o modo Icon, el puto .desktop es indistinguible de un fichero jpg.

D

Ostias! Que gustazo leer un artículo tan bien documentado en castellano.

j

#1 Hostias, "ostias"= ostra.

D

#9 Shit happens. No somos máquinas.

#1 No me fio mucho del nivel de inglés ....

> The ransomware attack affected the websites, database and multimedia files of around 3,400 businesses employing NAYANA’s service.

> El caso llamó la atención dado que infectó a 153 servidores, todos ellos con sistema operativo Linux, en el cual más de 3.400 archivos se han visto afectados.


3400 negocios pasan a ser 3400 archivos.
"becarios nooo, becarios noooooo"

D

#41 Pues sí, aunque puede ser un lapsus.

Joanbtl

#41 Sufisiente ke me se expresar en espanyol.
Es broma, es un error e intentaré corregirlo lo antes posible. En mi defensa diré que el post únicamente tenía como objetivo tener un nivel técnico decente.

yusavi

#2 apt-get update && apt-get upgrade

irrelevante.

#14 Sí, debe ser eso. Lo de creerse superior a los demás en base a un solo comentario, ya tal.

irrelevante.

#18 4 que se repiten en cada noticia sobre el tema. Y lo sabes

Y para soplapolleces, las de estos comentarios que se repiten a cada noticia.

Omóplato

#19 que sí, que sí. ¿Y a mí que me importa? Eres tú el que se cree esa idiotez. ¿Por qué me lo cuentas a mí?

irrelevante.

#20 Para no importarte, no paras de responderme. Porque sabes que en el fondo tengo razón

Omóplato

#21 Respondo a tus tontunadas, pues claro. Lo que no entiendo es por qué me debe importar lo que escriba otra gente.

1. Preguntas una cosa (que me parece estúpida). #10
2. Te respondo claramente y sin ningún tipo de apreciación (aunque lo preguntado me parezca estúpido). #11
3. Me respondes tú a mí con lo que dice otra gente. #12 (¿Qué tiene que ver conmigo?)
4. Te digo que tendrán el mismo nivel que tú, basándome, claro, en lo preguntado en #10

El resto es una retahíla de huidas hacia adelante que me importan bien poco. La realidad es que sí hay virus y amenazas de seguridad para GNU/Linux. Por lo menos veo que has aprendido algo.

irrelevante.

#51 Puede que haya aprendido algo, pero no es eso que dices tú, porque en mi curro he tenido que desinfectar sistemas Linux de bichos.

Lo que he aprendido es que hay mucho fundamentalista linuxero que acepta las bromas solamente de un lado hacia el otro. Cuando haces bromas sobre Linux, los fundamentalistas saltan sobre ti como hienas. No es tu caso, claro, porque apenas me has insultado y despreciado en este hilo.

kiss kiss

Omóplato

#54 Ah vale, vamos que cuando en #10 preguntabas lo que preguntabas, no era por ignorancia, era por. parafraseándote, saltar sobre los fundamentalistas linuxeros como hienas.

De verdad, si tanto te molesta que te llamen ignorante, no hagas preguntas ignorantes. Sobre todo si conoces la respuesta, que ya es de coña. Y ser ignorante no es malo, todos somos ignorantes en muchas cosas. Por cierto, soy todo lo contrario a un fundamentalista linuxero

Por último, qué pena que me hayas hecho perder el tiempo

irrelevante.

#55 Bueno, algo me dice que el hecho de que respondieras a una pregunta retórica era un indicador de que estabas deseando perder el tiempo roll

irrelevante.

¿Pero no habíamos que dado en que los sistemas linux no tenían bichos?

Omóplato

#10 No.

Omóplato

#12 Quizá tengan un nivel informático cercano al tuyo, yo que sé.

D

#12 Linux triunfara en tanto en cuanto se lleve bien con el capitalismo, en cuanto se lleva bien con el sistema, el mercado, sirva para vender ordenadores como Windows o mejor si mas y demas ... ahi esta el Android ese que hace ganar tantisima pasta a Google ... si Linux no vende, no hace grandes a multinacionales y no crea fortunas exageradas no llegara a nada, y siendo asi el mismo Gates se pasara a Linxu y vendera Linux que ocurrira lo veremos

irrelevante.

#27 Y yo lo aplaudiré, si eso llega a pasar algún día. Pero yo no estoy tan convencido como tú.

D

#28 es que ocurre, como lo del Android, haciendo grandes a las multinacionales, creando grandes fortunas, y entonces zas división, unos diran que eso no es open source siquiera, otros que si otros dicen que eso ni esta basado en Linux otros que si ... y asi ... el mundo no cambia por estas cosillas, no son revoluciones de verdad

g

#27 claro, es por eso que a día de hoy Linux no se usa para nada.
y segundo, ¿Hoy Android es Linux?

#44 cierto, no como Linux que las hace negras, mucho mas elegantes.

D

#58 Creo que a eso os han contestado ya mil veces, pero os cuesta entenderlo. Android en un sistema con kernel linux, pero no es GNU/linux. Si aceptamos linux como GNU/Linux, no, Android no es linux, si usamos linux como kernel, si, Android es un sistema con base linux, pero no es GNU/Linux.

https://www.gnu.org/gnu/linux-and-gnu.es.html

g

#72 no me cuesta nada entenderlo. Era la n-esima burla sobre si Android es Linux o no. En Meneame cuando sale una noticia sobre vulnerabilidad en Windows aparecen muchos comentarios del palo "no me afecta, uso linux" o "guía para solucionarlo: borrar Windows e instalar Linux" y cosas parecidas. Con Android pasa lo mismo. Si sale una noticia "Android tiene el 60% de cuota" un montón de gente se la empieza a pelar diciendo que Linux está en todas partes pero cuando la noticia es sobre una vulnerabilidad entonces Android no tiene nada que ver con Linux ni con el software libre.
Es por esto por lo que he escrito ese comentario. Depende del día Android es Linux o no.

D

#80 La mitad de los que te dicen "a mi no me afecta uso linux" suelen tener wine y por lo tanto pueden verse afectados pormuchas tonterías de windows.

D

#12 no existe el sistema seguro, eso lo sabe hasta un niño.
Windows ha tenido muchos problemas de seguridad por su diseño. Con WIndows 10 ha madurado el sistema y
yo ahora lo considero al nivel de otros sistemas operativos.

Otra cosa es que un equipo Linux, en el que todo se instala desde 'la tienda de aplicaciones' , no te descargas e instalas programas, el usuario jamas es root (en windows el usuario solía tener permisos de administrador), y siempre tienes actualizaciones, es mucho más complicado recibir una infección, pero más que porque sea más seguro en si,es porque se siguen los principios de seguridad por diseño.

Windows 10 a adoptado muchas de estas soluciones (si no todas) y para mi, ha sido el punto de inflexión, entre tenerle manía a Windows, y considerarlo un sistema operativo más (a pesar de que prefiero Linux por muchos motivos)

Pero un equipo windows 10 y un usuario concienciado con la seguridad ya no me parece la locura que era un XP con un usuario instalandolo todo desde softonic ...

D

#0
Linux no es un sistema operativo.

D

#24 por qué, por qué?

Venga ladrón, dilo que lo estás deseando

rafaLin

#53 Linux es solo el kernel del sistema operativo GNU/Linux

Es como los que llaman CPU al ordenador completo, cuando la CPU es solo el microprocesador.

D

#66 ahá....

LeDYoM

Ese xor ax,ax demuestra que algo de programar si saben.

D

#15 ya te digo. Lo menos han hecho primer curso de informática.

tururuuuu

#26 sorry, dedo flojo

LeDYoM

#26 En el pasado. Ahora en la universidad te ensenyan Java.
Esos tiempos en que picabamos assembler del bueno.

D

#59 hablas como si en 5 años de carrera solo se programara en Java.

LeDYoM

#61 Nop. Pero en mis tiempos en primer semestre ya tirabamos al assembler.

apetor

#15 me pregunto, pero, si sera en su forma 33 C0 o en la menos comun 31 C0. Pregunta trascendental, pa empezar el dia.

r

#15 Sí, el compilador probablemente sepa programar.

LeDYoM

#60 Muchos compiladores de curan en salud y generan mov ax,0 y no xor ax,ax
A parte, asumo que esta gente se lo debe programar a mano en assembler

D

Menudo cabrón Erebus, en menuda metió a Horus...


El ramsonware es la jodida moda... No paran eh.

atatat

Fantástico por qué este va a ser el año de Linux en escritorio

D

Tanto decir en los ataques de windows "yo uso linux a mi no me afecta" tenia que explotar por algun lado.

juanjosepablos

#46 lo que se sabe es que usa un kernel que fue parcheado hace 9 años en 24 horas. https://linuxzone.es/2008/02/11/kernel-26242-%C2%A1por-esto-queremos-tanto-a-linux/

juanjosepablos

Pues windows no da mas que pantallas azules

c

Máquina virtual y todo en la nube u modo invitado ",luego si eso lo del año de Linux en lo de debajo del escritorio, la papelera