Investigadores de seguridad de Trend Micro han publicado un reporte describiendo una nueva amenaza bastante avanzada. Se trata de un malware llamado Skidmap, este funciona como un rootkit en Linux y es capaz de ocultar la carga de CPU que utiliza para minar criptomonedas con el equipo infectado.
#8:
Es interesante el software y su complejidad, pero si acceden al equipo y pueden obtener permisos de "root", que dejen la cpu tostada minando criptomonedas (monero en este caso) casi parece lo de menos pudiendo acceder a información sensible o hacer de puente para cometer otros actos por ahí.
En el artículo original [1] se indica que después de obtener acceso ("whether through exploits, misconfigurations, or exposure to the internet"), se añade una entrada en el crontab y a correr.
#43:
#2#4 En el portátil en el que escribo este comentario, en cuanto sube la frecuencia del i7 el extractor va subiendo de régimen y da igual lo que digan las estadísticas de consumo, se nota al instante.
Y esta parte del artículo... "Skidmap usa rootkits de módulos del kernel de Linux, de forma que pueden sobrescribir o modificar partes del kernel del sistema", la comentamos otro día; porque mucha gente da por hecho que los de Gembeta cTrend Microonocen Linux y saben de que hablan!! y aunque lo hayan escrito los de Trend Micro (que también se supone que saben de que coño hablan), deberían haberlo reescrito de otra forma. Ni que un rootkid pudiese compilar modificar y compilar un kernel Linux y rearrancarlo sin que el usuario se diese cuenta.
Que usando un rotkit puedan escalar privilegios y cargar módulos del kernel... no es lo mismo que reescribir o modificar partes del kernel. Pero todo sea por crear alarma y ganar unos pocos clicks.
#49:
#23 Si usas una distribución Mint muy actual (de un año o menos) revisa si tienes activado el sistema de "instantáneas" (timeshift) que se incorporó no hace mucho. Puede estar realizando una copia del sistema para poder usarlo en una restauración.
#1:
Este es el año del alto consumo de CPU enmascarado en el escritorio de Linux.
#9:
#2 En un sobremesa será el ruido de los ventiladores trabajando a tope.
#11:
#3
Ningún linuxero te dirá que linux no tiene virus.
Y windows caca.
#12:
#7 Me da a mí que solo intentaría probar esa cadena en una máquina virtual a la que no tenga demasiado aprecio.
Es interesante el software y su complejidad, pero si acceden al equipo y pueden obtener permisos de "root", que dejen la cpu tostada minando criptomonedas (monero en este caso) casi parece lo de menos pudiendo acceder a información sensible o hacer de puente para cometer otros actos por ahí.
En el artículo original [1] se indica que después de obtener acceso ("whether through exploits, misconfigurations, or exposure to the internet"), se añade una entrada en el crontab y a correr.
#19 porque uno no había caído en que hay más dispositivos expuestos que servidores con configuración minuciosa y paquetes actualizados de repositorio oficial como bien apunta #20 😇
#30 Es que si te paras un momento a pensarlo, con la excepción de los PCs de sobremesa y alguna cosa mas, casi todos los aparatos del tipo que sean que lleven un sistema operativo para controlarlos usan una versión u otra de linux. Linux no esta a la vista como Windows y por eso no resulta obvio, pero es con mucha diferencia el sistema operativo mas usado a nivel mundial.
Y encima buena parte de esos aparatos, como la domotica, routers, etc son sistemas desatendidos y que muchas veces ni se actualizan, vienen con las claves por defecto, etc.
Y aunque sean poco potentes si infectas millones para que trabajen gratis para ti, al final todo suma.
Y esperate y que no pueda afectar a Android... que en buena parte sus tripas son linux.
El caso es que me recordó a las diferentes historias de compartir material protegido por redes P2P [1] y cómo el cliente final tiene poca idea y menos control de lo que pasa en su router (me refiero al típico aparato proporcionado por el proveedor de internet), de manera que puede haber un ataque masivo a este tipo de dispositivos y que desde ellos se cometan actos que luego sean imputables (no sé si con base legal) al titular de la línea sin que éste tenga nada que ver
#8 Pero es trivial ejecutar un detector de rootkids o una orden que informe de cualquier modificación en el crontab o cualquier otro archivo de configuración.
#2#4 En el portátil en el que escribo este comentario, en cuanto sube la frecuencia del i7 el extractor va subiendo de régimen y da igual lo que digan las estadísticas de consumo, se nota al instante.
Y esta parte del artículo... "Skidmap usa rootkits de módulos del kernel de Linux, de forma que pueden sobrescribir o modificar partes del kernel del sistema", la comentamos otro día; porque mucha gente da por hecho que los de Gembeta cTrend Microonocen Linux y saben de que hablan!! y aunque lo hayan escrito los de Trend Micro (que también se supone que saben de que coño hablan), deberían haberlo reescrito de otra forma. Ni que un rootkid pudiese compilar modificar y compilar un kernel Linux y rearrancarlo sin que el usuario se diese cuenta.
Que usando un rotkit puedan escalar privilegios y cargar módulos del kernel... no es lo mismo que reescribir o modificar partes del kernel. Pero todo sea por crear alarma y ganar unos pocos clicks.
#3: No hay virus de los que se instalan sin tu permiso (bueno, son muy pocos), pero de los que amablemente te piden permiso para instalarse, hay los que quieras.
#3 no te equivoques, no se trata de que Linux sea mejor que Windows. Linux tiene tantos problemas como Windows... La diferencia está en que todo son tu culpa
#3 en Linuz,.como en todo, se comenten errores que otros.pueden pillar y aprovechar. Pero.el.código fuente es público, es revisado.por quien lo.desee y pueda en busca de errorrs que reportar y se corrigen de inmediato.etc. En windows.el.código.es.cerrado, se han puesto.puestas traseras.adrede y gomo.estaban por.razones oscuras coml.los.dos.códicos.que iniciaban con NSA y permitían instalar remotamente lo que se quisiera en el.XP en lugar de ser corregidos se ataca, se ocultan y se corrigen in extremis abriendo otras puertas. En el.caso de esos.códicos.en lugar de cerrarlos.Microsoft.intentó atacar.a.quien los publicaba como.violación de propiedad intelectual, como.si un número.largo.pudiera.tener propiedad.
Una cosa son errores con lucha constante de todos.para.evitarlos y corregirlos y alguien que aproveche pon encontran uno antes que los.demás y otra agujeros.puestos adredd ocultados etc..
Hay bastante diferencia en realidad
En sobremesa linux hay poco pero infraestructura de redes, servidores, equipos domoticos, etc, con linux son la mayoría. Puede que ese sea el verdadero objetivo.
Esto me pasó a mí en Windows. Cuando le dabas al administrador de tareas, el uso de la CPU bajaba de repente. Me di cuenta porque tengo monitorizadas las frecuencias y temperaturas mientras juego, y vi que la CPU estaba siempre al 100%.
Yo prefiero comprar y vender bitcoins en vez de minarlos, ya que una vez ya tuve una mala experiencia con la minería, se me daño el ordenador y me tocó comprar uno nuevo. Por cierto, lo que están buscando un sitio donde comprar criptomonedas, este es bueno https://www.avatrade.es/cfd-trading/indices/sp-500 Yo mismo lo uso y hasta ahora no me he arrepentido.
Últimamente tras encender mint se me ponen varios cortes al 100% un par de minutos. No encuentro la tarea culpable de esto. (A ver si será el malware).
#23 Si usas una distribución Mint muy actual (de un año o menos) revisa si tienes activado el sistema de "instantáneas" (timeshift) que se incorporó no hace mucho. Puede estar realizando una copia del sistema para poder usarlo en una restauración.
Comentarios
Es interesante el software y su complejidad, pero si acceden al equipo y pueden obtener permisos de "root", que dejen la cpu tostada minando criptomonedas (monero en este caso) casi parece lo de menos pudiendo acceder a información sensible o hacer de puente para cometer otros actos por ahí.
En el artículo original [1] se indica que después de obtener acceso ("whether through exploits, misconfigurations, or exposure to the internet"), se añade una entrada en el crontab y a correr.
[1] https://blog.trendmicro.com/trendlabs-security-intelligence/skidmap-linux-malware-uses-rootkit-capabilities-to-hide-cryptocurrency-mining-payload/
#8 ¿Y para que quieres buscar información sensible y pensar como sacarle dinero si puedes sacar el dinero directamente sin pensar?
#19 porque uno no había caído en que hay más dispositivos expuestos que servidores con configuración minuciosa y paquetes actualizados de repositorio oficial como bien apunta #20 😇
#30 Es que si te paras un momento a pensarlo, con la excepción de los PCs de sobremesa y alguna cosa mas, casi todos los aparatos del tipo que sean que lleven un sistema operativo para controlarlos usan una versión u otra de linux. Linux no esta a la vista como Windows y por eso no resulta obvio, pero es con mucha diferencia el sistema operativo mas usado a nivel mundial.
Y encima buena parte de esos aparatos, como la domotica, routers, etc son sistemas desatendidos y que muchas veces ni se actualizan, vienen con las claves por defecto, etc.
Y aunque sean poco potentes si infectas millones para que trabajen gratis para ti, al final todo suma.
Y esperate y que no pueda afectar a Android... que en buena parte sus tripas son linux.
#37 cierto.
El caso es que me recordó a las diferentes historias de compartir material protegido por redes P2P [1] y cómo el cliente final tiene poca idea y menos control de lo que pasa en su router (me refiero al típico aparato proporcionado por el proveedor de internet), de manera que puede haber un ataque masivo a este tipo de dispositivos y que desde ellos se cometan actos que luego sean imputables (no sé si con base legal) al titular de la línea sin que éste tenga nada que ver
[1] Primer cliente de Movistar identificado por hacer descargas al que se le exigen 400 € por compartir una serie
Primer cliente de Movistar identificado por hacer ...
bandaancha.eu#8 El artículo de MNM está incompleto, no explica si la infección se puede hacer de forma remota o hay que tener acceso al equipo.
#8 Pero es trivial ejecutar un detector de rootkids o una orden que informe de cualquier modificación en el crontab o cualquier otro archivo de configuración.
Este es el año del alto consumo de CPU enmascarado en el escritorio de Linux.
#1 lo enmascarará en un equipo de escritorio, porque la batería de un portátil se la merendará en un ratillo y te darás cuenta que algo pasa
#2 En un sobremesa será el ruido de los ventiladores trabajando a tope.
#9 salvo en mi caso que ya lo hacen sin minado de por medio
#10 Que tú sepas...
#9 en un servidor, ni te coscas...
#2 #4 En el portátil en el que escribo este comentario, en cuanto sube la frecuencia del i7 el extractor va subiendo de régimen y da igual lo que digan las estadísticas de consumo, se nota al instante.
Y esta parte del artículo... "Skidmap usa rootkits de módulos del kernel de Linux, de forma que pueden sobrescribir o modificar partes del kernel del sistema", la comentamos otro día; porque mucha gente da por hecho que los de Gembeta cTrend Microonocen Linux y saben de que hablan!! y aunque lo hayan escrito los de Trend Micro (que también se supone que saben de que coño hablan), deberían haberlo reescrito de otra forma. Ni que un rootkid pudiese compilar modificar y compilar un kernel Linux y rearrancarlo sin que el usuario se diese cuenta.
Que usando un rotkit puedan escalar privilegios y cargar módulos del kernel... no es lo mismo que reescribir o modificar partes del kernel. Pero todo sea por crear alarma y ganar unos pocos clicks.
#1 Linux no tiene virus.
#40 así es. Malware sí.
#40 Linux igual no, ¿pero GNU/Linux?
/mode invoco a los GNU-eros off
#51 Eres preverso
#1 Será en el tuyo, porque en el mío no entra nada que yo no quiera.
Imposible. Me han dicho en menéame que linux no tiene virus y que windows, caca.
#3 es un malware no un un virus. Pero si lo que buscas es consumo de memoria y recursos puedes usar tu firefox con imgur
#4 ¿Cual es el problema de Firefox con imgur?
#6 No sé si es exclusivo de Firefox pero si te tiras un buen rato en Imgur viendo montones de posts estos se van acumulando en memoria.
#3
Ningún linuxero te dirá que linux no tiene virus.
Y windows caca.
#11 si sigues correctamente la definición de virus, no, no hay virus relevantes.
Malware sí hay
#45 Tampoco hay malware relevante...
#64 a nivel de usuario no, obvio. Lo que quiero decir es que lo que normalmente se llaman "virus de linux" son malwares.
#3 ¿quién te lo ha dicho? ¿Los mismos que dicen que hay que abrir las fronteras y dejar que entren todos los inmigrantes sin control?
#14 Las fronteras hay que abrirlas, pero como se ha hecho en Europa: primero exigir a los países que cumplan determinados criterios.
#3: No hay virus de los que se instalan sin tu permiso (bueno, son muy pocos), pero de los que amablemente te piden permiso para instalarse, hay los que quieras.
#3 Sí que los tiene. Pero te piden confirmación para instalarse.
#3 no te equivoques, no se trata de que Linux sea mejor que Windows. Linux tiene tantos problemas como Windows... La diferencia está en que todo son tu culpa
#3 podrías buscar que es una rootkit, pero total, para que ¿No?
#3 a mi me lo dijo mi cuñao el pelirrojo
#3 No es linux, es GNU
#29 ...con Linux
#3 Si, de esos que se instala el propio usuario. Hasta para eso Linux "es difícil"
#3 joder, cómo os ha dolido. Hace tiempo que no tengo tantas respuestas a un comentario.
#3 Pues parecería que te falta comprensión lectora.
#3 en Linuz,.como en todo, se comenten errores que otros.pueden pillar y aprovechar. Pero.el.código fuente es público, es revisado.por quien lo.desee y pueda en busca de errorrs que reportar y se corrigen de inmediato.etc. En windows.el.código.es.cerrado, se han puesto.puestas traseras.adrede y gomo.estaban por.razones oscuras coml.los.dos.códicos.que iniciaban con NSA y permitían instalar remotamente lo que se quisiera en el.XP en lugar de ser corregidos se ataca, se ocultan y se corrigen in extremis abriendo otras puertas. En el.caso de esos.códicos.en lugar de cerrarlos.Microsoft.intentó atacar.a.quien los publicaba como.violación de propiedad intelectual, como.si un número.largo.pudiera.tener propiedad.
Una cosa son errores con lucha constante de todos.para.evitarlos y corregirlos y alguien que aproveche pon encontran uno antes que los.demás y otra agujeros.puestos adredd ocultados etc..
Hay bastante diferencia en realidad
#15 Pues yo sólo he visto no dos, sino tres tetas.
Afortunadamente es fácil de detectar en firefox con:
x d g-open $(printf "tths*p-y-uto.bu-dew4Q9WwXcgQ" | sed 's/(.)(.)(.)/312/g' | sed 's|*|:g' | sed 's|-|/g')
#7 Me da a mí que solo intentaría probar esa cadena en una máquina virtual a la que no tenga demasiado aprecio.
#13 Es un mensaje troll para enfatizar sobre lo complicado que es GNU/Linux.
#12
#15 más bien sobre lo complicadas que son las expresiones del comando "sed".
#7 ¿qué mierda es esa?
#13 #22 #33 He intentado hacer una broma y no me ha salido porque Menéame me cambia algunos símbolos
#7 En Cent OS no me funciona. Es solo para Ubuntu ?
#7 Pues pongo eso en la barra de direcciones de firefox y no funciona
#33 #7 Ni puto caso. Ese comando no vale para na... tut tut tut... tut tut tut...
#7 Rickroll
#36 ¡Eso intentaba!
#47 #36 #57 Buen intento!
Yo siempre ando buscando nuevas maneras de meter un Rickroll
Me apunto esta para desarrollarla
Algunas de las que he probado son... » ver todo el comentario
#36 Tenía pinta de Rickroll por la estructura de las letras, sí.
caso aislado en Linux
Una cosa está clara, en Linux todo se hace mejor, hasta los virus.
Me da igual, yo uso Windows
En sobremesa linux hay poco pero infraestructura de redes, servidores, equipos domoticos, etc, con linux son la mayoría. Puede que ese sea el verdadero objetivo.
¿Un virus que apaga el ventilador de la CPU?.
Esto me pasó a mí en Windows. Cuando le dabas al administrador de tareas, el uso de la CPU bajaba de repente. Me di cuenta porque tengo monitorizadas las frecuencias y temperaturas mientras juego, y vi que la CPU estaba siempre al 100%.
Es facil de detectar, cuando encuentra un bitcoin sale la musiquita de las tragaperras de campana campana campana.
Relacionada: Menéame instala malware para minar bitcoins en las PC de usuarios [ENG]
Menéame instala malware para minar bitcoins en las...
Es el año del bitcoin en Linux
Yo prefiero comprar y vender bitcoins en vez de minarlos, ya que una vez ya tuve una mala experiencia con la minería, se me daño el ordenador y me tocó comprar uno nuevo. Por cierto, lo que están buscando un sitio donde comprar criptomonedas, este es bueno https://www.avatrade.es/cfd-trading/indices/sp-500 Yo mismo lo uso y hasta ahora no me he arrepentido.
Últimamente tras encender mint se me ponen varios cortes al 100% un par de minutos. No encuentro la tarea culpable de esto. (A ver si será el malware).
#23 has comido carne mechá últimamente?
#23 Si usas una distribución Mint muy actual (de un año o menos) revisa si tienes activado el sistema de "instantáneas" (timeshift) que se incorporó no hace mucho. Puede estar realizando una copia del sistema para poder usarlo en una restauración.