Hackers están usando ataques de fuerza bruta SSH para hacerse cargo de sistemas Linux protegidos con contraseñas débiles y están implementando una puerta trasera llamada Chaos.
Los ataques con este malware se han detectado desde junio del 2017. Recientemente se han documentado y desglosado en un informe de GoSecure.
Según los expertos de GoSecure, la puerta trasera no es realmente nueva y fue uno de los componentes del rootkit Linux "sebd" que tuvo un uso limitado en 2013 y luego fue descargado como descarga gratuita en HackForums.
Ahora parece que alguien ha extraído la puerta trasera del código fuente del rootkit de sebd, lo ha rebautizado como "Chaos" y ahora lo está utilizando como la carga útil de la primera etapa en ataques a servidores Linux.
En los ataques detectados por GoSecure, los hackers usaron Chaos para luego volcar un bot que atrapa la caja de Linux comprometida en una botnet controlada a través del protocolo IRC.
La puerta trasera en sí no es tan avanzada, ni utiliza ninguna nueva vulnerabilidad. El gurú de Linux y reportero de ZDNet, Steven J. Vaughan-Nichols, fue el primero en señalar a principios de esta semana que la puerta trasera no depende de ningún exploit sino de la estupidez de los administradores del servidor que no pueden establecer una contraseña segura para sus servidores.
Chaos usa un ingenioso truco para evitar los firewalls
Lo único que se destaca como interesante en el modus operandi de Chaos es el hecho de que abre un socket sin formato en el puerto 8338 en el que escucha los comandos.
"Cualquier firewall decente bloquearía los paquetes entrantes a cualquier puerto que no se haya abierto explícitamente para fines operacionales", dicen los expertos de GoSecure. "Sin embargo, con Chaos utilizando un socket sin formato, la puerta trasera puede activarse en puertos que ejecutan un servicio legítimo existente".
Además de permitir que Chaos se ejecute sin perturbar los servicios que ya se ejecutan en ese puerto, este truco de sockets crudos también asegura que el proceso de la puerta trasera no aparezca cuando los administradores del servidor ejecutan comprobaciones netstat -w básicas.
"Debido a que Chaos no viene solo, pero con al menos un Bot IRC que tiene capacidades remotas de ejecución de código, aconsejamos a los hosts infectados que se reinstalen por completo desde una copia de seguridad de confianza con un nuevo conjunto de credenciales", aconseja GoSecure.Fecha actualización el 2021-02-23. Fecha publicación el 2018-02-23. Categoría: linux. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
