Un nuevo troyano, XOR.DDoS, se encuentra comprometiendo sistemas Linux para formar una red de bots para ataques de denegación de servicio (DDoS), ha sido reportada por el grupo MalwareMustDie, dijo el blog de una firma de seguridad cibernética.
Avast, una compañía de software antivirus, ha explicado en su blog sobre la nueva amenaza que altera su instalación en función del entorno Linux de la víctima y luego instala un rootkit para evitar la detección.
La infección comienza con un ataque 'fuerza bruta' por SSH para obtener las credenciales del usuario root. Si tiene éxito, los atacantes instalan el troyano a través de un script de shell que incluye procedimientos como main, check, compiler, uncompress, setup, etc.
El troyano comprueba su compatibilidad con las cabeceras del kernel del sistema comprometido y si coincide, instala un rootkit.
"El rootkit oculta todos los archivos que son indicadores de vulneración, por lo que las víctimas no podrían ver esos indicadores. También oculta los procesos y otros indicadores de compromiso ", dijo Peter Kalnai, analista de malware en Avast para SCMagazine.com.
MalwareMustDie vio por primera vez el troyano en octubre de 2014. Los sistemas con los inicios de sesión por defecto, son los más vulnerables. Además, servidores web 32-bit y 64-bit Linux , equipos de escritorio, equipos con arquitectura ARM también son susceptibles.
A menudo los sistemas Windows tienen infecciones similares, pero los troyanos para sistemas Linux son menos escuchados.
"Es muy difícil establecer un componente rootkit dentro de un límite de Linux, ya que necesita estar de acuerdo con las versiones de los sistemas operativos de las víctimas", dijo Kalnai.
Aunque no se han reportado muchas infecciones hasta el momento, tanto las empresas como los individuos deben ser conscientes de la amenaza.
¿Que es un RootKit?
Un RootKit es un conjunto de herramientas para permitir un acceso de privilegio continuo a una computadora pero mantener su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones.
Fuente: Avast
Avast, una compañía de software antivirus, ha explicado en su blog sobre la nueva amenaza que altera su instalación en función del entorno Linux de la víctima y luego instala un rootkit para evitar la detección.
La infección comienza con un ataque 'fuerza bruta' por SSH para obtener las credenciales del usuario root. Si tiene éxito, los atacantes instalan el troyano a través de un script de shell que incluye procedimientos como main, check, compiler, uncompress, setup, etc.
El troyano comprueba su compatibilidad con las cabeceras del kernel del sistema comprometido y si coincide, instala un rootkit.
"El rootkit oculta todos los archivos que son indicadores de vulneración, por lo que las víctimas no podrían ver esos indicadores. También oculta los procesos y otros indicadores de compromiso ", dijo Peter Kalnai, analista de malware en Avast para SCMagazine.com.
MalwareMustDie vio por primera vez el troyano en octubre de 2014. Los sistemas con los inicios de sesión por defecto, son los más vulnerables. Además, servidores web 32-bit y 64-bit Linux , equipos de escritorio, equipos con arquitectura ARM también son susceptibles.
A menudo los sistemas Windows tienen infecciones similares, pero los troyanos para sistemas Linux son menos escuchados.
"Es muy difícil establecer un componente rootkit dentro de un límite de Linux, ya que necesita estar de acuerdo con las versiones de los sistemas operativos de las víctimas", dijo Kalnai.
Aunque no se han reportado muchas infecciones hasta el momento, tanto las empresas como los individuos deben ser conscientes de la amenaza.
¿Que es un RootKit?
Un RootKit es un conjunto de herramientas para permitir un acceso de privilegio continuo a una computadora pero mantener su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones.
Fuente: Avast
