Llegamos a ustedes gracias a:



Alertas de Seguridad

Nuevo malware DDoS

Se dirige hacia sistemas Linux y Windows

[27/12/2013] De acuerdo con los investigadores del Computer Emergency Response Team de Polonia (CERT- Polska), los atacantes están comprometiendo los sistemas Linux y Windows para instalar un nuevo programa de malware orientado a desplegar ataques de denegación de servicio (DDoS, por sus siglas en inglés),
El malware fue encontrado por el CERT a comienzos de diciembre y la versión de Linux está siendo desplegada siguiendo exitosas contraseñas basadas-en-diccionario, adivinando ataques contra el servicio SSH (Secure Shell). Esto significa que solo los sistemas que permiten el acceso remoto a SSH desde Internet y tienen cuentas con contraseñas débiles están en riesgo de ser comprometidos por atacantes que distribuyen este malware.
Hemos sido capaces de obtener un archivo ELF estáticamente enlazado de 32-bit, señalaron los investigadores del CERT polaco en un mensaje de blog. El ejecutable funciona en modo demonio, y se conecta a un servidor de comando-y-control (C&C) usando una dirección IP (protocolo de Internet) codificada y un puerto, agregaron.
Cuando se ejecuta por primera vez, el malware manda información del sistema operativo -el resultado del comando uname (nombre Unix)- de vuelta al servidor C&C, y espera por instrucciones.
Del análisis pudimos determinar que hay cuatro tipos de ataques DDoS posibles, cada uno de ellos con un objetivo definido, señalaron los investigadores. Una de las posibilidades es el ataque Amplification DNS, en donde una solicitud que contiene 256 consultas aleatorias o previamente definidas, es enviada al servidor DNS. También hay otras, funciones no implementadas, que están designadas probablemente a utilizar el protocolo HTTP con el fin de realizar un ataque DDoS.
Mientras se ejecuta un ataque, el malware proporciona información de vuelta al servidor C&C sobre la tarea en ejecución, la velocidad de la CPU, la carga del sistema y la velocidad de conexión de red.
Una variante del malware DDoS también existe para sistemas Windows, donde es instalado como "C:\Program Files\DbProtectSupport\svchost.exe", y está configurado para ejecutarse como un servicio en el arranque del sistema.
De acuerdo al análisis de los investigados, a diferencia de la versión de Linux, la variante de Windows se conecta con el servidor C&C usando un nombre de dominio -no una dirección IP-, y se comunica en un puerto diferente. Sin embargo, el mismo servidor C&C fue usado para ambas variantes, Linux y Windows, ayudando al CERT a concluir que fueron creados por el mismo grupo.
Ya que este malware ha sido diseñado casi exclusivamente para ataques DDoS, los atacantes detrás de ello probablemente estén interesados en comprometer computadoras con un ancho de banda significativo a su disposición, así como servidores. Ésta también es probablemente la razón por la cual hay dos versiones de la bot -los sistemas operativos Linux son una opción popular para las máquinas del servidor, señalaron los investigadores.
Sin embargo, este no es el único programa malware diseñado para Linux e identificado recientemente.
Andre DiMino, investigador de seguridad de la George Washington University, encontró y analizó recientemente una bot maliciosa escrita en Perl, después de que permitiera a los atacantes comprometer uno de sus sistemas Linux honeypot.
Los atacantes estaban tratando de aprovecharse de la vulnerabilidad de un viejo PHP, así que DiMino configuró intencionalmente su sistema para que fuera vulnerable, para luego rastrear sus intenciones. La vulnerabilidad es conocida como CVE-2012-1823 y fue parchada en PHP 5.4.3 Y PHP 5.3.13 en mayo del 2012, lo que sugiere que el ataque iba dirigido a servidores desatendidos cuyas instalaciones PHP no se habían actualizado en mucho tiempo.
Después de permitir que se viera comprometido su sistema, DiMino vio que los atacantes desplegaban malware escrito en Perl, que se conectaba a un servidor de IRC (Internet Relay Chat) usado por los atacantes para comando y control. La bot luego descargó un exploit de privilegios locales y un script utilizado para realizar operaciones Bitcoin y Primecoin -una operación que utiliza la potencia de cálculo para generar dinero virtual.
La mayoría de los servidores que están inyectados con estos scripts, luego son usados para diversas tareas, incluyendo DDoS, escaneo de vulnerabilidad, y exploiting, señaló DiMino en un mensaje en un blog que proporciona un análisis detallado del ataque. La extracción del dinero virtual se está viendo más a menudo ejecutándose en el background durante el tiempo de inactividad del atacante.
El reporte de DiMino viene después de que investigadores de seguridad de Symantec advirtieron en noviembre pasado que la misma vulnerabilidad PHP estaba siendo explotada por un nuevo gusano de Linux.
Los investigadores de Symantec encontraron versiones del gusano no solo para PC x86 Linux, sino también para sistemas Linux con las arquitecturas ARM, PPC, MIPS y MIPSEL. Esto los llevó a concluir que los atacantes detrás del gusano también tenían como objetivo los routers caseros, cámaras IP, set-top boxes, y otros sistemas embebidos con firmware basado en Linux.
Lucian Constantin, IDG News Service