XOR.DDoS – Troyano para Linux de tipo DoS y con Rootkit oculto

troyano linuxLos expertos de seguridad del equipo de Avast han descubierto un nuevo tipo de troyano DDoS que ataca sistemas operativos Linux. Su nombre es XOR. DDoS y además esconde un aliado en forma de RootKit oculto.

XOR.DDoS

Este malware fué descubierto en primera instáncia por miembros el portal MalwareMustDie! en Septiembre de 2014. Este troyano para Linux se considera único debido a su capacidad de modificar estructuras de archivos dependiendo de la plataforma Linux atacada.

“La infección comienza mediante un intento de fuerza bruta sobre el protocolo SSH y sus credenciales de acceso para el usuario root (superusuario). Si tiene éxito, los atacantes obtienen acceso a la máquina y pueden instalar el troyano (normalmente, vía script shell)”

Dicho script contiene procedimientos como main, compiler, check, setup, generate, uncompress y similares, acompañados de variables como _host_32_, _host_64_, _kernel_,_remote_ y otras. El procedimiento principal descifra y selecciona el Servidor C&C correcto basado en la arquitectura encontrada en el equipo.

Los atacantes intentaron explotar unos de los malos hábitos de usuarios de Linux, que mantienen los nombres de usuario de login por defecto en servicios expuestos a Internet, específicamente SSH. Una vez el XOR.DDoS ha infectado la máquina Linux, el rootkit esconde sus componentes (archivos/procesos) para evitar ser detectado.

linux-XOR-DDOS-trojan-elf_xorddos_scheme

“Además, debemos dejar claro que existe una variante de este troyano compilada para arquitecturas ARM“, continúa el informe. “Esto sugiere que la lista de sistemas víctima potenciales (32 y 64 bit) incluye, además de servidores web y PCs de escritorio, routers, dispositivos IoT, almacenamiento NAS o servidores ARM”.

Internet of Things en la mente del atacante

Los diseñadores de malware están desarrollando, cada vez más, aplicaciones maliciosas que expongan todos los sistemas basados en Linux y derivados que podamos tener por casa ahora o en un futuro próximo.

Otro punto interesante del citado XOR.DDoS es la implementación de la infraestructura de control y el proceso de administración de la red de bots o Botnet. Los expertos observan que la comunicación entre los bots y el Servidor de Control (C&C) está cifrada en ambas direcciones con la misma llave incluída en XOR en forma de archivo de configuración.

La lista de C&Cs está guardada en el script shell, dentro de la variable _remote_. El troyano envía primero información sobre el sistema en el que está siendo ejecutado al Servidor C&C (probablmente mostrado en un panel de un operador remoto de la Botnet). El servidor responderá después con un comando, normalmente.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.