XOR.DDoS – Troyano para Linux de tipo DoS y con Rootkit oculto

3

troyano linuxLos expertos de seguridad del equipo de Avast han descubierto un nuevo tipo de troyano DDoS que ataca sistemas operativos Linux. Su nombre es XOR. DDoS y además esconde un aliado en forma de RootKit oculto.

XOR.DDoS

Este malware fué descubierto en primera instáncia por miembros el portal MalwareMustDie! en Septiembre de 2014. Este troyano para Linux se considera único debido a su capacidad de modificar estructuras de archivos dependiendo de la plataforma Linux atacada.

“La infección comienza mediante un intento de fuerza bruta sobre el protocolo SSH y sus credenciales de acceso para el usuario root (superusuario). Si tiene éxito, los atacantes obtienen acceso a la máquina y pueden instalar el troyano (normalmente, vía script shell)”

Dicho script contiene procedimientos como main, compiler, check, setup, generate, uncompress y similares, acompañados de variables como _host_32_, _host_64_, _kernel_,_remote_ y otras. El procedimiento principal descifra y selecciona el Servidor C&C correcto basado en la arquitectura encontrada en el equipo.

Los atacantes intentaron explotar unos de los malos hábitos de usuarios de Linux, que mantienen los nombres de usuario de login por defecto en servicios expuestos a Internet, específicamente SSH. Una vez el XOR.DDoS ha infectado la máquina Linux, el rootkit esconde sus componentes (archivos/procesos) para evitar ser detectado.

linux-XOR-DDOS-trojan-elf_xorddos_scheme

“Además, debemos dejar claro que existe una variante de este troyano compilada para arquitecturas ARM“, continúa el informe. “Esto sugiere que la lista de sistemas víctima potenciales (32 y 64 bit) incluye, además de servidores web y PCs de escritorio, routers, dispositivos IoT, almacenamiento NAS o servidores ARM”.

Internet of Things en la mente del atacante

Los diseñadores de malware están desarrollando, cada vez más, aplicaciones maliciosas que expongan todos los sistemas basados en Linux y derivados que podamos tener por casa ahora o en un futuro próximo.

Otro punto interesante del citado XOR.DDoS es la implementación de la infraestructura de control y el proceso de administración de la red de bots o Botnet. Los expertos observan que la comunicación entre los bots y el Servidor de Control (C&C) está cifrada en ambas direcciones con la misma llave incluída en XOR en forma de archivo de configuración.

La lista de C&Cs está guardada en el script shell, dentro de la variable _remote_. El troyano envía primero información sobre el sistema en el que está siendo ejecutado al Servidor C&C (probablmente mostrado en un panel de un operador remoto de la Botnet). El servidor responderá después con un comando, normalmente.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

3 comentarios

  1. Alejandro Sánchez el

    Oh, y no olvides instalar todos los parches que procedan a tu sistema inmediatamente después de desinfectar!

  2. Alejandro Sánchez el

    Hola Robin,

    Si habéis formateado el servidor y reinstalado limpiamente, entiendo que la persistencia del atacante podría venir por las credenciales utilizadas. ¿Las habéis modificado? En cualquier caso, te dejo unas instrucciones detalladas de la web: http://bartblaze.blogspot.com.es/2015/09/notes-on-linuxxorddos.html#Disinfection

    Es importante que desconectes el equipo de la red antes de realizar la desinfección, además de cerrar el servicio SSH. Realiza los pasos uno a uno y cambia las credenciales del servicio SSH antes de volver a conectar el equipo a la red.

    Si necesitas que te traduzca los pasos o tienes alguna otra duda, dímelo sin problema y te ayudo con ello.

    Saludos.

  3. En mi empresa se detectó este troyano y ya formateamos el servidor donde se encontraba la infección y configuramos desde cero. Pero se volvió a detectar. ¿Cómo puedo quitar este virus? Si pudieran ayudarme con algunas indicaciones sería de mucha ayuda, gracias de antemano.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR