EDICIóN GENERAL
221 meneos
4759 clics
Análisis de Erebus, un ransomware para Linux

Análisis de Erebus, un ransomware para Linux

Esta semana hemos conocido que la empresa surcoreana NAYANA, proveedora de servicios web, sufrió un ataque de una variante del ransomware Erebus. El caso llamó la atención dado que infectó a 153 servidores, todos ellos con sistema operativo Linux, en el cual más de 3400 archivos se han visto afectados. En este artículo vamos a llevar a cabo un análisis sobre una muestra del ejecutable encargado de llevar a cabo la infección en esta última campaña de Erebus.

| etiquetas: erebus , ransomware , nayana , análisis del ejecutable
102 119 2 K 310 SysDevs
102 119 2 K 310 SysDevs
Comentarios destacados:                    
#17 #12 Eso solo si manipulas lo que decimos xD

Linux puede tener virus igual que Windows, le salvan basicamente dos cosas:

A) Lo normal es que tires de un repositorio que esta bien cuidado y bien certificado, con lo que te quitas de encima todos los programillas de bajos fondos. En windows ya empiezan a tirar por ese modelo, pero aun a dia de hoy lo normal es meterte en la jungla de la web y sacarte el software de donde buenamente puedas.

B) Pocos usuarios y mas expertos, con lo que no les compensa a los creadores de virus por el impacto potencial.
Ostias! Que gustazo leer un artículo tan bien documentado en castellano.
#1 Hostias, "ostias"= ostra.
#9 Shit happens. No somos máquinas.
#1 No me fio mucho del nivel de inglés ....

> The ransomware attack affected the websites, database and multimedia files of around 3,400 businesses employing NAYANA’s service.

> El caso llamó la atención dado que infectó a 153 servidores, todos ellos con sistema operativo Linux, en el cual más de 3.400 archivos se han visto afectados.


3400 negocios pasan a ser 3400 archivos.
"becarios nooo, becarios noooooo"
#41 Pues sí, aunque puede ser un lapsus. :-P
#41 Sufisiente ke me se expresar en espanyol.
Es broma, es un error e intentaré corregirlo lo antes posible. En mi defensa diré que el post únicamente tenía como objetivo tener un nivel técnico decente.
Solución: meter el CD de Microsoft Windows y formatear. :-P

#Nota: es broma, la solución está en tener cuidado empezando por usar formatos más simples cuando haga falta. ¡Cuántas hojas de cálculo no podrían ser sustituidas por ficheros CSV!
#3 El truco del enlace que enlace que pones realmente no sirve por varios motivos:
Puedes tener el tener los .desktop habilitado o deshabilitado en distintos filemanagers, tener un filemanager que no los soporte, o como yo directamente no utilizar filemanagers gráficos.
Tienes que descomprimir directamente sin ver el contenido. Si no la trampa es evidente. Yo tampoco lo hago nunca entre otras cosas por si el contenido no viene dentro de un directorio y si lo descomprimes tal cual se te mezclará…   » ver todo el comentario
#5 Aún así, en mi opinión, no deja de ser un vector abierto, sobre todo para usuarios nuevos. No sé si los has leído pero hay algunos comentarios bastante interesantes acerca de ello.
#6 Vector para ejecutar archivos que ya son ejecutables y están en el sistema.
Eso es como tener unas ganzúas para abrir la puerta de tu casa.
#7 creo que dicen que al descomprimir un zip o tar que guarde permisos puede haber posibilidades de que te pongan un archivo directamente ejecutable que parezca una imagen pero en realidad está ejecutando un script al abrirlo. y para colmo te pueden mostrar una imagen y no darte ni cuenta.
No dicen que el archivo. desktop tenga que existir de antes aunque pasarte un archivo .desktop existente también sea una opción.
Además, para añadir confusión, la extensión desktop puede ser opcional ya que…   » ver todo el comentario
#49 No es igual que el caso de las extensiones en Windows por que para empezar necesitas más acciones concretas por parte del usuario que que omita otros pasos.
El caso de Windows es un paso click y ejecutado. Configuración por defecto
El de Linux es primero no miro el contenido, segundo lo descomprimo, tercero tengo que usar un filemanager X con una configuracion Y, cuarto lo ejecuto.
Si cada uno de los pasos es una opción verdadero/falso, a cada paso la posibilidad de ejecución no deseada se…   » ver todo el comentario
#65 En Reddit, menos Dolphin, el resto dice que lo ejecuta sin decir nada. 1 paso o 2 depende de cómo cuentes.
- Descargar archivo que te llega por email.
- Doble click y se descomprime
- "Uy qué tetas más bonitas. Quiero verlas en grande"

Y estás Infectado mientras ves una foto de una tía en tetas.

Yo lo veo muy similar a los ataques con ejecutables en .zip de la factura de Endesa o virus tipo IloveYou que te llegan por email. Que en algunos casos haya posibilidades de que el…   » ver todo el comentario
#70 Con doble cick no se descomprime.
Y el paso de "Uy qué tetas más bonitas. Quiero verlas en grande" necesita otro click mas que no has puesto.
SIn el paso de descargar el archivo son al menos 3 pasos y muchas variables. En Windows sigue siendo un paso con configuración estandar sin variables.
#78 He hecho la prueba en Ubuntu y con doble click no me ha descomprimido automáticamente como dicen en Reddit, pero si descomprimo el archivo con botón derecho "extraer aquí" Veo un archivo de nombre CV.pdf con un icono convincente. Tanto en tar.gz como con .zip me ha guardado el permiso de ejecución al descomprimir, y como se usa el permiso de ejecución para asumir que el archivo .desktop es de confianza, en vez del nombre del archivo sale el nombre interno que hay en el archivo…   » ver todo el comentario
#79 No es lo mismo por que en Linux la gente usa más de un administrador de ficheros (o en modo texto como mi caso) , más de una configuración, etc... Por que no existe siquiera el concepto de "administrador de archivos por defecto para Linux"
La única variable no es el click.
En todos los Windows sin excepción desde el 95 hasta el windows 10 tienes un administrador de ficheros que es el explorer.
Eso no ha pasado en ninguna distribución de Linux en la historia.
La desuniformidad de Linux de la que muchos no linuxeros se quejan es una de sus grandes ventajas y potenciales.
Y la uniformidad de Windows que la mayoría de usuarios de Windows alaba es uno de sus mayores talones de Aquiles.
#7 y qué ganzúas!
un wget por allí, un ssh reverso en tu usuario por allá, un poquito de crontab -e por acá...

sin ser cerrajeros, esas tres vienen casi instaladas por defecto.
#5 >Pero lo más importante, sigues sin poder ejecutar nada que venga en el archivo. Por que .desktop o no un archivo no ejecutable en Linux no se ejecuta lo llames como lo llames.

Sí puedes.
#39 No.
Lo que es afirmado sin pruebas puede ser negado sin pruebas.
Christopher Hitchens
#62 Los desktop no dependen de permisos, se pueden ejecutar o bien con X DG-open, o con el escritorio de turno. Y creo que hasta con DBUS.
#67 ¿Se pueden ejecutar con el Midnight Commander? xD xD
#69 :-P

Pero en un escritorio, sí.
#5 a mi me la hubieran colado en Mate. Limpiamente. Normalmente las ventanas las tengo en modo lista, ahí ha salido un icono raro que no suelo ver. En modo Compacto o modo Icon, el puto .desktop es indistinguible de un fichero jpg.
#2 apt-get update && apt-get upgrade
Hace mucho que no veía ensamblador y el artículo está muy detallado.
Ahora lo que le falta al artículo, yo creo que la parte más importante, y que se les ha quedado fuera. ¿Como llega el ramsomware a los equipos?
De los comentarios:

AJC says:
¿Cual sería el vector de infeccion?


Joan says:
Al parecer no está demasiado claro dadas las importantes vulnerabilidades presentes en su página web.
Ésta se ejecuta sobre una versión del kernel de Linux 2.6.24.2, la cual sería vulnerable, por ejemplo, a Dirty Cow, además de estar presentes las versiones de Apache2 1.3.36 y PHP 5.1.4, las cuales salieron a la luz en 2006.
#4 O sea, que aquello era un colador del carajo. Chao.
#4 Toda la razón, pero al tratarse de especulaciones preferí incluir únicamente la parte más técnica relacionada con la muestra disponible.
¿Pero no habíamos que dado en que los sistemas linux no tenían bichos?
#11 Pues debo estar ciego, porque en la noticia de ayer hay unos cuantos:
www.meneame.net/c/22064415
www.meneame.net/c/22064469
www.meneame.net/c/22064551
www.meneame.net/c/22067301

Y en general, en cualquier noticia sobre el tema, la solución generalizada más aplaudida para no recibir virus es instalar linux.
#12 Quizá tengan un nivel informático cercano al tuyo, yo que sé.
#14 Sí, debe ser eso. Lo de creerse superior a los demás en base a un solo comentario, ya tal.
#16 No como tú, que sacas conclusiones estúpidas en base a 4, como demuestras en #11

Pero bueno, no es creerme superior, eres tú el que ha dicho la soplapollez de #10
#18 4 que se repiten en cada noticia sobre el tema. Y lo sabes :-)

Y para soplapolleces, las de estos comentarios que se repiten a cada noticia.
#19 que sí, que sí. ¿Y a mí que me importa? Eres tú el que se cree esa idiotez. ¿Por qué me lo cuentas a mí?
#20 Para no importarte, no paras de responderme. Porque sabes que en el fondo tengo razón :-)
#21 Respondo a tus tontunadas, pues claro. Lo que no entiendo es por qué me debe importar lo que escriba otra gente.

1. Preguntas una cosa (que me parece estúpida). #10
2. Te respondo claramente y sin ningún tipo de apreciación (aunque lo preguntado me parezca estúpido). #11
3. Me respondes tú a mí con lo que dice otra gente. #12 (¿Qué tiene que ver conmigo?)
4. Te digo que tendrán el mismo nivel que tú, basándome, claro, en lo preguntado en #10

El resto es una retahíla de huidas hacia adelante que me importan bien poco. La realidad es que sí hay virus y amenazas de seguridad para GNU/Linux. Por lo menos veo que has aprendido algo.
#51 Puede que haya aprendido algo, pero no es eso que dices tú, porque en mi curro he tenido que desinfectar sistemas Linux de bichos.

Lo que he aprendido es que hay mucho fundamentalista linuxero que acepta las bromas solamente de un lado hacia el otro. Cuando haces bromas sobre Linux, los fundamentalistas saltan sobre ti como hienas. No es tu caso, claro, porque apenas me has insultado y despreciado en este hilo. ;)

:-* :-*
#54 Ah vale, vamos que cuando en #10 preguntabas lo que preguntabas, no era por ignorancia, era por. parafraseándote, saltar sobre los fundamentalistas linuxeros como hienas.

De verdad, si tanto te molesta que te llamen ignorante, no hagas preguntas ignorantes. Sobre todo si conoces la respuesta, que ya es de coña. Y ser ignorante no es malo, todos somos ignorantes en muchas cosas. Por cierto, soy todo lo contrario a un fundamentalista linuxero :-)

Por último, qué pena que me hayas hecho perder el tiempo :hug:
#55 Bueno, algo me dice que el hecho de que respondieras a una pregunta retórica era un indicador de que estabas deseando perder el tiempo :roll:
#12 Eso solo si manipulas lo que decimos xD

Linux puede tener virus igual que Windows, le salvan basicamente dos cosas:

A) Lo normal es que tires de un repositorio que esta bien cuidado y bien certificado, con lo que te quitas de encima todos los programillas de bajos fondos. En windows ya empiezan a tirar por ese modelo, pero aun a dia de hoy lo normal es meterte en la jungla de la web y sacarte el software de donde buenamente puedas.

B) Pocos usuarios y mas expertos, con lo que no les compensa a los creadores de virus por el impacto potencial.
#17 No he manipulado nada, me he limitado a enlazar comentarios, y ya la gente puede entrar y leerlos en su contexto original. Manipular es otra cosa, como extraer una parte que me interesa obviando todo lo demás. Yo no hago eso, yo enlazo los comentarios originales para que la gente los lea.
#17 La B no creo que sea cierto, desde el momento que muchos servidores usan Linux. Quiero decir, son expertos (o se les supone) pero no son pocos, y el impacto potencial es alto.
#32 Pero los servidores no instalan software de "por ahi". Es un objetivo mucho mas complejo.
#33 No lo niego. Lo que digo es que son un objetivo goloso... mejor protegido, pero deseable
#34 Es digamos, otro mercado para los hackers, con otras caracteristicas. Aqui estabamos hablando en principio de cosas de usuario.
#33 Ni servidores ni desktops, ni linux ni mac ni windows tienen gusanos por instalar software de por ahi; en estos y otros casos hablamos de exploits como vector de entrada, no de hacer doble click en chochetejugoso.exe
#50 Le estoy dando click al fichero que has adjuntado pero no me abre :shit:
#12 ¿tu novia se fue con un Linuxero o algo? Porque en cada noticia sacas el tema
#23 No tengo novia. Será porque uso linux en mis ratos libres :foreveralone:
#25 será que no lo usas a tiempo completo.
#27 Y yo lo aplaudiré, si eso llega a pasar algún día. Pero yo no estoy tan convencido como tú.
#27 claro, es por eso que a día de hoy Linux no se usa para nada.
y segundo, ¿Hoy Android es Linux?

#44 cierto, no como Linux que las hace negras, mucho mas elegantes.
#58 Creo que a eso os han contestado ya mil veces, pero os cuesta entenderlo. Android en un sistema con kernel linux, pero no es GNU/linux. Si aceptamos linux como GNU/Linux, no, Android no es linux, si usamos linux como kernel, si, Android es un sistema con base linux, pero no es GNU/Linux.

www.gnu.org/gnu/linux-and-gnu.es.html
#72 no me cuesta nada entenderlo. Era la n-esima burla sobre si Android es Linux o no. En Meneame cuando sale una noticia sobre vulnerabilidad en Windows aparecen muchos comentarios del palo "no me afecta, uso linux" o "guía para solucionarlo: borrar Windows e instalar Linux" y cosas parecidas. Con Android pasa lo mismo. Si sale una noticia "Android tiene el 60% de cuota" un montón de gente se la empieza a pelar diciendo que Linux está en todas partes pero cuando la noticia es sobre una vulnerabilidad entonces Android no tiene nada que ver con Linux ni con el software libre.
Es por esto por lo que he escrito ese comentario. Depende del día Android es Linux o no.
#80 La mitad de los que te dicen "a mi no me afecta uso linux" suelen tener wine y por lo tanto pueden verse afectados pormuchas tonterías de windows.
#12 no existe el sistema seguro, eso lo sabe hasta un niño.
Windows ha tenido muchos problemas de seguridad por su diseño. Con WIndows 10 ha madurado el sistema y
yo ahora lo considero al nivel de otros sistemas operativos.

Otra cosa es que un equipo Linux, en el que todo se instala desde 'la tienda de aplicaciones' , no te descargas e instalas programas, el usuario jamas es root (en windows el usuario solía tener permisos de administrador), y siempre tienes actualizaciones, es mucho más…   » ver todo el comentario
Ese xor ax,ax demuestra que algo de programar si saben.
#15 ya te digo. Lo menos han hecho primer curso de informática.
#26 sorry, dedo flojo
#26 En el pasado. Ahora en la universidad te ensenyan Java.
Esos tiempos en que picabamos assembler del bueno.</abuelocebolleta>
#59 hablas como si en 5 años de carrera solo se programara en Java.
#61 Nop. Pero en mis tiempos en primer semestre ya tirabamos al assembler.
#15 me pregunto, pero, si sera en su forma 33 C0 o en la menos comun 31 C0. Pregunta trascendental, pa empezar el dia.
#15 Sí, el compilador probablemente sepa programar.
#60 Muchos compiladores de curan en salud y generan mov ax,0 y no xor ax,ax
A parte, asumo que esta gente se lo debe programar a mano en assembler
#0
Linux no es un sistema operativo.
#24 por qué, por qué?

Venga ladrón, dilo que lo estás deseando
#53 Linux es solo el kernel del sistema operativo GNU/Linux </niñoRepelente>

Es como los que llaman CPU al ordenador completo, cuando la CPU es solo el microprocesador.
#66 ahá....  media
Menudo cabrón Erebus, en menuda metió a Horus...


El ramsonware es la jodida moda... No paran eh.
Joan says:
29 de Junio de 2017 at 4:51 pm
Al parecer no está demasiado claro dadas las importantes vulnerabilidades presentes en su página web.
Ésta se ejecuta sobre una versión del kernel de Linux 2.6.24.2, la cual sería vulnerable, por ejemplo, a Dirty Cow, además de estar presentes las versiones de Apache2 1.3.36 y PHP 5.1.4, las cuales salieron a la luz en 2006.

Un saludo


no hay mas preguntas señoría
Fantástico por qué este va a ser el año de Linux en escritorio :shit:
Pues windows no da mas que pantallas azules www.youtube.com/watch?v=TGLhuF3L48U
Tanto decir en los ataques de windows "yo uso linux a mi no me afecta" tenia que explotar por algun lado.
#46 lo que se sabe es que usa un kernel que fue parcheado hace 9 años en 24 horas. linuxzone.es/2008/02/11/kernel-26242-¡por-esto-queremos-tanto-a-linux
Máquina virtual y todo en la nube u modo invitado ",luego si eso lo del año de Linux en lo de debajo del escritorio, la papelera
comentarios cerrados

menéame