Linux.Backdoor.Xnote.1, novo backdoor para sistemas GNU/Linux encontrado

Segurança na web

Um novo malware, do tipo backdoor, foi encontrado e analisado pela equipe de pesquisadores da companhia Dr Web, que produz e comercializa soluções em segurança da informação, como anti-vírus doméstico ou corporativo, iclusive para distribuições GNU/Linux. O malware descoberto foi nomeado como Linux.Backdoor.Xnote.1, e possui capacidade para a execução de diversos tipos de tarefas maliciosas, entre elas a de montagem de ataques DDOs.

Obviamente este backdoor só é instalado em sistemas que estejam sendo executados com privilégios de superusuário, quando do momento de contato com o agente infectante, e tão logo consiga acesso ao sistema, o malware verifica se já existe alguma versão dele em execução e caso a checagem retorne positiva ele interrompe a nova instalação, mas caso a avaliação retorne negativa, e ainda não exista uma versão sua sendo executada no sistema, ele então cria uma cópia de si mesmo no diretório /bin na forma de um arquivo chamado iptable6, e em seguida apaga o arquivo que originalmente foi usado para inicializá-lo. O malware também procura por qualquer script no diretório /etc/init.d que comece com a linha “#/bin/bash”, e então adiciona outra linha de comando a ele para fazer com que o backdoor seja inicializado automaticamente.

Uma vez que tenha o controle do sistema, o backdoor pode designar uma identificação única para o sistema infectado, e o atacante pode utilizar este malware para iniciar um ataque DDOs em um host remote com um endereço específico, podendo montar ataques de SYN Flood, UDP Flood, HTTP Flood, Amplificação NTP, ou mesmo parar um ataque por ele iniciado, atualizar seu executável, escrever dados em determinado arquivo, remover-se do sistema, entre outras atividades.

A assinatura padrão deste malware já foi adicionada à base de informações dos produtos de segurança mantidos pela empresa. Para maiores informações a respeito deste backdoor, acesse o artigo original, em inglês, através do blog da companhia.

Anúncios

Endian Firewall Community 2.5.2 liberado! Agosto, 2013.

endian-firewall-community

Após um longo período desde o lançamento da versão anterior, foi liberada a versão 2.5.2 do Endian Firewall Community. Sendo baseada na distribuição Red Hat Enterprise Linux, esta edição é construída com o apoio da comunidade open source, disponibilizando somente softwares livres, e provê proteção a ambientes não críticos ou sistemas domésticos.

Entre as funcionalidades disponíveis podemos encontrar a de filtro de conteúdo, antivírus para conexões HTTP/FTP, ferramentas anti-phishing e anti-spam, sistema de detecção de intrusão, entre outras. Como mudanças principais nesta versão, destaco a atualização do ClamAV para a versão mais recente, as listas anti-spyware agora são fornecidas pelo site PhishTank ao invés do Malware Domains, permitindo que mais sites sejam reconhecidos como fontes de infecção, além de permitir que seja mostrada uma página com a descrição do website malicioso, oferecida pelo PhishTank.

Mais dispositivos de hardware são agora suportados, inclusive alguns modelos de modems USB, além de várias placas de rede e controladoras para discos rígidos. Para uma completa lista das modificações implementadas, verifique o anúncio oficial de lançamento no blog da Endian.

Potencial ofensivo do “Hand of Thief” para os sistemas GNU/Linux.

mac_malware

Muito se tem falado a respeito da descoberta recente da RSA, sobre um malware que tem como alvo específico a coleta de dados bancários em sistemas GNU/Linux, sendo possível encontrar notícias espalhadas em sites e blogs americanos, assim como em outros aqui mesmo no Brasil, podendo citar entre eles o techtudo, da Globo.com, e o Info Exame, da Abril. Mas até que ponto este trojan pode mesmo ser uma ameaça a segurança nos sistemas operacionais de código aberto?

Em primeiro lugar, vamos buscar a definição do que é um trojan. Segundo a Cartilha de Segurança para Internet, disponibilizada pelo Cert.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, um trojan, ou trojan-horse, ou ainda cavalo de troia em uma tradução livre, é:

…um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Estes programas, geralmente, consistem de um único arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. Trojans também podem ser instalados por atacantes que, após invadirem um computador, alteram programas já existentes para que, além de continuarem a desempenhar as funções originais, também executem ações maliciosas“.

Mas segundo a descrição das características do “Hand of Thief”, feita pela própria RSA, este malware apresenta ainda funcionalidades pertencentes a outras classes de softwares maliciosos, como a capacidade de abrir portas de comunicação no sistema infectado para a utilização do atacante, bem como a de socks5 proxy, que é um web proxy com a capacidade de permitir o acesso de um computador externo a Internet utilizando o computador infectado.

Essa funcionalidade é explorada quando o atacante deseja mascarar seu próprio endereço IP durante o acesso a Internet, fazendo com que os sites ou computadores que visite mostre o IP do computador infectado, através do qual ele está acessando a Internet, e não o seu IP real. Além disso, ela também está sendo utilizada no malware para prevenir que o sistema contaminado acesse e utilize os serviços de determinados sites, como os que atualizam as bases de dados dos antivírus instalados e os próprios sistemas operacionais GNU/Linux.

Outras tarefas realizadas pelo trojan são: a captura de dados digitados em formulários em websites, bem como a coleta de cookies nos navegadores web, podendo afetar vários deles como o Mozilla Firefox, Google Chrome, Chromium, Aurora, Ice Weasel, entre outros. O malware também vem “equipado” com ferramentas contra a instalação do mesmo em máquinas virtuais e sandboxes, além de outras que previnem a depuração e análise de seu código, dificultando a pesquisa e a realização de engenharia reversa no mesmo.

Ainda segundo a RSA, esse malware parece ter sido desenvolvido por um time de criminosos cibernéticos de origem russa, que alega ter testado o mesmo em quinze distribuições diferentes, incluindo as populares Ubuntu, Debian e Fedora, abrangendo oito ambientes gráficos, encontrando-se o KDE e o GNOME entre eles.

Como método de infecção, o próprio “serviço de atendimento” da equipe que está vendendo o trojan sugere a engenharia social ou o envio por e-mail, não diferindo dos outros tipos de malware que existem para as várias distribuições GNU/Linux. O valor que o(a) interessado(a) em adquirir este software malicioso terá de desembolsar, é de dois mil dólares americanos, ou mil e quinhentos euros, pelo menos é quanto custa no momento em que escrevo este post.

Após verificarmos a descrição oferecida pela RSA em seu artigo, podemos chegar a algumas conclusões a respeito deste malware:

– Ele tem como alvo principal os(as) usuários(as) de sistemas GNU/Linux no desktop, e não usuários(as) destes sistemas operacionais livres em geral, já que administradores(as) de redes não costumam navegar na Internet utilizando um dos servidores que administram e, embora alguns destes sejam servidores web, não serão contaminados pela ação do(a) usuário(a) da rede que o utiliza para navegar, já que o malware poderá ser instalado e executado apenas na máquina cliente;

– Como em outras variantes de softwares de código malicioso, desenvolvidos para os sistemas GNU/Linux, este também depende da ação do(a) usuário(a) para que se instale e seja executado em seu sistema.

Portanto, embora as habilidades ofensivas demonstradas pelo trojan sejam impressionantes, ele ainda depende da inocência, ou boa vontade, do(a) usuário(a) para que se torne efetivo, e mesmo assim ele só poderá ser executado com os privilégios que este(a) usuário possua no sistema, podendo ser bastante limitados, dependendo de qual seja o(a) usuário(a) ativo(a) no momento da possível contaminação, e de como o sistema está configurado.

Como medidas de proteção a serem tomadas contra este malware, e tantos outros, pode-se aplicar algumas, tanto do lado do(a) usuário(a) comum como do(a) administrador(a) de redes, entre elas:

– Baixar e instalar um software antivírus, como AVG Linux Server, ClamAV, entre outros, mantendo-os sempre atualizados;

– Baixar, instalar e executar softwares como chkrootkit e Rootkit Hunter, que buscam por possíveis malwares do tipo rootkits em seu sistema;

– Ter a certeza de que o firewall Netfilter/Iptables está sendo executado para proteger conexões às faixas de endereço em IPV4 e IPV6;

– Executar o SELinux ou o AppArmor  para assegurar-se de que os arquivos do sistema estejam marcados como seguros;

– Checar os aplicativos do sistema, utilizando o o recurso de confirmação da soma do MD5 dos mesmos, procurando verificar se algum deles foi alterado;

– Executar o Logwatch para monitorar, e armazenar em arquivos de log, os acessos realizados ao sistema;

– Executar o Faillog para verificar possíveis tentativas de acesso não autorizadas ao sistema, o Logwatch pode prover informações similares;

– Somente execute aplicações essenciais ao seu sistema, remova aquelas que não utilize e não instale ou execute aplicações originárias de fontes não confiáveis;

– Cheque periodicamente as configurações de firewall e/ou de sistemas de detecção e prevenção de intrusão presentes em seu sistema;

– Realize treinamentos entre os(as) administradores(as) de rede, além é claro do restante do pessoal para a correta configuração dos sistemas e prevenção de incidentes de segurança.

Estas são apenas algumas sugestões para quem deseja fortalecer a segurança em sistemas sob sua responsabilidade, podendo ser tomadas outras providências de acordo com cada necessidade. Com certeza esta última recomendação é a mais importante, quando se trata da segurança em sistemas operacionais GNU/Linux. Todas as aplicações acima podem ser configuradas para serem executadas em momentos pré-determinados, e regulares, utilizando-se para isso os agendamentos no Cron.

E, especificamente com relação ao trojan “Hand of Thief”, seus próprios desenvolvedores, com o intuito de protegerem o código que desenvolveram, forneceram mais uma arma para que você não seja contaminado, mesmo que mande executar o trojan a partir de um site ou e-mail recebido, bastando que realize o acesso a sua conta bancária, ou a outros sites que tenham igual valor para você, através de um sistema operacional GNU/Linux virtualizado, ou seja, executando a partir de uma máquina virtual, assim o sistema de proteção que implementaram, prevenindo que o mesmo possa ser instalado em uma virtual machine, torna inútil o investimento que algumas pessoas mal intencionadas realizaram, na tentativa de enriquecerem facilmente. Até a próxima! 🙂