Resumen: Un nuevo malware de puerta trasera detectado recientemente, ha estado atacando sigilosamente a los sistemas Linux y Solaris, explotando una antigua vulnerabilidad para lograr su persistencia.
El malware, apodado como BPFDoor, se trata de una puerta trasera personalizada que ha sido utilizada ampliamente en la red durante al menos cinco años.
BPFDoor, fue descubierto y reportado por primera vez por la firma de ciberseguridad de PricewaterhouseCoopers (PwC), quienes atribuyeron la amenaza a un grupo APT ubicado en China, denominado como “Red Menshen”.
Hoy día, un reciente análisis proporcionado por el equipo de seguridad de CrowdStrike, informó a los usuarios que los actores de la amenaza han comenzado a infectar los sistemas Linux y Solaris, ejecutando una carga personalizada del backdoor.
En su informe, CrowdStrike reveló un análisis detallado sobre partes del proceso de infección del malware.
Primero, una vez que los atacantes han obtenido el acceso al dispositivo objetivo, explotan una vulnerabilidad en el componente XscreenSaver (CVE-2019-3010), con el objetivo de adquirir permisos de administrador.
A continuación, los atacantes ejecutan su carga maliciosa dentro del sistema de sus víctimas.
En este punto, los actores de la amenaza hacen uso de una variable denominada como “LD_PRELOAD” en los sistemas Solaris, que ejecuta una funcionalidad similar a la línea de comandos observada en los sistemas Linux.
Sin embargo, durante los últimos días, los actores de la amenaza han comenzado a utilizar esta misma variable en los dispositivos Linux, esto con el objetivo de cargar malware fácilmente dentro de los procesos legítimos del sistema.
Finalmente, los investigadores de CrowdStrike informaron que, dada la constante actualización de los scripts en los sistemas infectados, la detección de los implantes de BPFDoor podría resultar difícil para los usuarios.
Dicho esto, se le recomienda a todos los administradores, tomar las medidas necesarias para mantener sus sistemas protegidos.
Recomendaciones: Medidas para mitigar cualquier ataque de ciberseguridad Mantener los dispositivos actualizados Instalar los últimos parches disponibles Activar la autenticación multifactor Activar las reglas de firewall Guardar copias de seguridad En caso de sospechar que BPFDoor está presente en su red, puede utilizar los siguientes comandos:
Comando Linux que reportará la línea de comandos falsificada lsof -RPnl | grep SOCK_RAW | grep IP
Comandos Solaris que reportarán procesos inusuales for _PIDno in /proc/*; do line=$(pfiles "${_PIDno}"); echo $_PIDno $line | grep bpf; done
for _PIDno in /proc/*; do line=$(pmap "${_PIDno}"); echo $_PIDno $line | grep libpcap; done
for _PIDno in /proc/*; do line=$(pldd "${_PIDno}"); echo $_PIDno $line | grep libpcap; done
Referencias:
|
SÍGUENOS