0
(0)

Documentación publicada por la empresa de seguridad de Internet ESET el 7 de octubreth, ha dado detalles sobre lo que era una familia de malware menos conocida que surgió en mayo pasado, incluidos detalles que son muy relevantes para el mundo Linux, especialmente aquellos que usan sistemas Linux RedHat Enterprice más antiguos para servidores de producción.

La familia de malware que recibe el nombre de FontOnLake, utiliza módulos personalizados que proporcionan acceso remoto a los sistemas infectados, utilizando un rootkit para ocultar la infección. El malware puede recopilar credenciales y también actúa como un servidor proxy mediante el uso de componentes de diseño avanzado que se pueden clasificar en tres categorías, según la versión de ESET:

  • Aplicaciones troyanizadas: binarios legítimos que se modifican para cargar más componentes,
    recopilar datos o realizar otras actividades maliciosas
  • Puertas traseras: componentes en modo usuario que sirven como punto principal de comunicación para sus operadores.
  • Rootkits: componentes en modo kernel que en su mayoría ocultan y disfrazan su presencia, ayudan con las actualizaciones,
    o proporcionar puertas traseras de respaldo.

La documentación también dio una idea de las cautelosas medidas tomadas por los operadores del malware. “Creemos que sus operadores son demasiado cautelosos ya que casi todas las muestras vistas usan servidores C&C diferentes y únicos con diferentes puertos no estándar. Los autores usan principalmente C / C ++ y varias bibliotecas de terceros como Aumentar, Poco y Protobuf. Ninguno de los servidores de C&C utilizados en las muestras cargadas en VirusTotal estaban activos en el momento de redactar este artículo, lo que indica que podrían haberse desactivado debido a la carga. Realizamos varios escaneos en Internet que imitaban la comunicación inicial de sus protocolos de red dirigidos a los puertos no estándar observados para identificar los servidores C&C y las víctimas. Logramos encontrar solo un servidor C&C activo, que en su mayoría solo mantenía la conectividad a través de comandos personalizados de latidos y no proporcionaba actualizaciones sobre solicitudes explícitas «.

El malware contiene aplicaciones que probablemente hayan sido modificadas a nivel de código fuente y reconstruidas para realizar acciones maliciosas que no existían en las versiones originales, como recopilar datos confidenciales mediante el uso de funciones modificadas como auth_password desde el sshd paquete. Actualmente se desconoce el método en el que estos paquetes y aplicaciones modificados se distribuyen a las víctimas.

ESET también ha revelado que ha descubierto tres puertas traseras como parte del malware, utilizando el Asio biblioteca de Aumentar. La documentación entra en detalles explícitos sobre cómo funcionan las puertas traseras, qué comandos utilizan y cómo recopilan y almacenan la información necesaria para funcionar.

Con respecto a los Rootkits, la divulgación establece que todas las muestras actuales del malware apuntan a las versiones del kernel 2 6 32-696 el6 x86_64 y 3 10 0-229 el7 x86_64, que son kernels más antiguos del sistema RedHat Enterprise Linux, sin embargo, a pesar de que son más antiguo, debe tenerse en cuenta que una gran cantidad de servidores de producción todavía pueden estar usando sistemas y núcleos más antiguos para maximizar la estabilidad, o simplemente como una mala práctica de los administradores de sistemas más perezosos de la mentalidad de ‘si no está roto, no lo arregles’. Otra cosa que vale la pena señalar de la documentación son los comentarios en la sección de conclusión que indican:

«Su escala y diseño avanzado sugieren que los autores están bien versados ​​en ciberseguridad y que estas herramientas podrían reutilizarse en campañas futuras». Y, «Como la mayoría de las funciones están diseñadas solo para ocultar su presencia, retransmitir la comunicación y proporcionar acceso de puerta trasera, creemos que estas herramientas se utilizan principalmente para mantener una infraestructura que sirve para otros fines maliciosos desconocidos».

Por lo tanto, aunque los usuarios domésticos típicos pueden no tener que preocuparse por su PC de escritorio con Linux, esta información sigue siendo valiosa para tener en cuenta que, si bien muchas personas cuentan con la seguridad de los sistemas Linux, no es infalible, y el mantenimiento y la actualización adecuados siguen siendo esenciales en protegiéndose.

La documentación en formato PDF se puede encontrar en el sitio web welivesecurity, un sitio web de seguridad de TI con información de los expertos de ESET. https://www.welivesecurity.com/wp-content/uploads/2021/10/eset_fontonlake.pdf

publicitario

¿Le ha parecido útil este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.