Entre agosto y octubre se detectó una campaña de infección con un nuevo malware, Linux Rabbit, pensado para minar Monero. Rabbit ataca servidores Linux de países específicos, establece conexión con el C&C mediante Tor, persiste en el dispositivo infectado, ataca con fuerza bruta SSH para obtener acceso al servidor e instala la versión más adecuada del código de minado a la arquitectura del dispositivo infectado. En la 2ª campaña de infección modificaron el malware creando un gusano denominado Rabbot para potenciar la infección de disp. IoT.
Comentarios
#8 Según la fuente original.
https://www.anomali.com/blog/pulling-linux-rabbit-rabbot-malware-out-of-a-hat
Hay varias fases:
1) Se instala en routers de algunos países mediante vulnerabilidades remotas conocidas. El articulo incluye una lista modelos afectados.
2) Desde estos routers intenta hacer fuerza bruta via ssh a servidores linux.
3) Si consigue entrar en algún servidor mediante fuerza bruta, trata de instalar los JS para minar. Se mina luego en los clientes que visitan la web.
En ningún momento hablan de linux escritorios ni siquiera de problema en servidores actualizados. Solo afecta a ciertos modelos de routers.
#11 ¿a si? Si tan claro está el paso, que infecta mediante vulnerabilidades y además están identificadas ¿por qué dicen ellos que no saben cuál es el primer vector de ataque?
Hay dos variantes, la primera ataca a máquinas, ordenadores incluidos, con linux y gana persistencia modificando los archivos “rc.local” y “.bashrc”
La segunda ataca a routers y dispositivos IoT aprovechando vulnerabilidades y es lo que tú dices, pero la primera ataca a equipos con linux, no solo a routers.
¿Pero no habíamos quedado en que Linux no tenía virus?
#2 Son virus sanos .
#2
La parte de "ataque por fuerza bruta ssh" me da que se te ha olvidado antes de comentar.
#4 Cuando salió el virus de la policía o el virus del correo, a mucha gente se le olvidó la parte de "el usuario tiene que descargar y ejecutar por su cuenta el malware, a pesar de todas las advertencias de seguridad"
Aún así, el otro comentario era una coña, no decía en serio que era un virus estrictamente hablando.
#5 No, el malware no entra por fuerza bruta. El ataque de fuerza bruta es un paso posterior a la infección, con el objectivo de acceder a servidores. El vector de infección inicial, según la noticia en inglés, no está del todo claro: "This campaign was conducted by unknown threat actors and it is currently unclear what the initial infection vector is"
¿Cuál fue el vector inicial de wannacry? porque por la red interna está claro cómo se propagó pero ¿cómo llegó a la red interna?
Luego, para los ataques de IoT explota vulnerabilidades.
El tema es que el malware se cuela y está infectando y cada vez hay más noticias de estas. Imaginaos si Linux tuviese un 90% de cuota en escritorios, con lo manazas que son los usuarios.
#7 No invente. El "policía" entraba simplemente por visitar sitios con el javascript malicioso.
https://unaaldia.hispasec.com/2012/03/el-malware-de-la-policia-aprovecha-un-exploit-de-java-in-the-wild-y-el-secreto-su-exito.html
#9 No invento, simplemente junté dos malwares. El del coreos te pedía que descargases un fichero: https://www.adslzone.net/2016/03/18/un-mail-que-se-hace-pasar-por-correos-puede-secuestrar-tus-datos-y-pedirte-una-recompensa/
Aún así, lo de siempre, java desactualizado y activo en el navegador.
#2 No es un virus, es un malware que entra por fuerza bruta (probando claves de acceso) en los servidores a través de una conexión SSH. Y si está bien explicado en la noticia, la variante "Rabbot" ataca mediante vulnerabilidades a los clientes web que visiten estos servidores ya infectados con el malware.
#5 Me pasé del tiempo de edición:
Un par de cosas:
Rabbot ataca al "internet de las cosas", a routers, cámaras, etc.
Quien "ataca" a la gente "a través de la web" es rabbit, y lo que hace es modificar las páginas para que carguen un javascript de minado, así cuando la gente entra con su navegador a esa web, ejecutan el script y minan, pero no hay vulnerabilidades en los "clientes web" (navegadores) que rabbit aproveche.
#2 ¿Apostamos para ver cuanto tiempo tardan los frikis en corregir esta vulnerabilidad?
Seguro que se están dando de hostias para ser el primero que sube alguna actualización.
... cosa que no sería así si el código lo conociesen solo 300 ingenieros de Micro$oft, como ocurre con Windows, en lugar de todo el mundo, como pasa con Linux.
Original, con detalle de las vulnerabilidades que explota: https://www.anomali.com/blog/pulling-linux-rabbit-rabbot-malware-out-of-a-hat
Relacionada: Nuevo minador en Linux capaz de cambiar la contraseña del administrador
Nuevo minador en Linux capaz de cambiar la contras...
unaaldia.hispasec.comAumenta el malware en linux: https://www.zdnet.com/article/eset-discovers-21-new-linux-malware-families/