Casa > Ciber Noticias > Virus CowerSnail Linux conectado a SambaCry CVE-2017-7494
CYBER NOTICIAS

Virus CowerSnail Linux conectado a SambaCry CVE-2017-7494

imagen Virus CowerSnail Linux

Los investigadores de seguridad detectaron el virus CowerSnail Linux en una investigación en curso sobre los ataques de piratas informáticos a gran escala. De acuerdo con el análisis de los criminales tras el malware también son responsables de los troyanos SambaCry que se aprovechan de la vulnerabilidad CVE-2017-7494.

Artículo relacionado: El servidor de distribuciones de Linux en Mejor 2017

¿Qué es el virus CowerSnail Linux

El software malicioso CowerSnail se detectó en una campaña de ataque en curso dirigido por un grupo de hackers. Está hecho específicamente para apuntar el sistema operativo de código abierto, ya que se compila utilizando el kit de herramientas de QT - uno de los marcos de desarrollo más utilizados compatibles con el ecosistema Linux. Una de las ventajas clave es que una vez hecho el virus CowerSnail Linux puede ser portado a otros sistemas operativos, así: Mac OS X, Microsoft Windows y varias plataformas integradas (Integridad, QNX y VxWorks) por ejemplo. Las versiones actuales están vinculados con varias bibliotecas que son utilizados por los componentes del sistema Linux, si se cambian a una iteración multiplataforma entonces el puerto sería fácil de programar. Esto viene con un precio reflejado en el tamaño del archivo. Como todos los componentes están integrados en el virus ejecutable el tamaño resultante es de aproximadamente 3 MB. Esto hace que sea considerablemente difícil de distribuir con eficacia a través de algunas de las tácticas de cálculo populares.

El análisis de la seguridad revela que las muestras de virus CowerSnail Linux capturados demuestran el siguiente patrón de infección:

  1. Cuando el virus CowerSnail Linux se ejecuta el software de forma automática los intentos de elevar la prioridad del hilo conductor y la propia aplicación.
  2. Después llamó una API StartServiceCtrlDispatcher que establece conexión con remoto Hacker-operado C&C (mando y control) servidores. Esto convierte efectivamente el virus CowerSnail Linux en un peligroso troyano que a las comunicaciones de red se establecen en la fase temprana de la infección.
  3. Si esto no funciona CowerSnail también puede aceptar acciones predefinidas y aceptar variables como la entrada del usuario. Efectivamente CowerSnail se puede instalar como una carga útil secundaria y estar configurado por otro software malicioso.
  4. Los huéspedes infectados son reportados a la C&servidores C a través del protocolo IRC que es uno de los protocolos más populares para chatear con los usuarios. IRC bots y software automatizado se encuentran entre los más fáciles tipos de infraestructura pirata informático controlado disponibles en los mercados clandestinos de hackers.

Capacidades de virus CowerSnail Linux

Una de las características más importantes asociados con el malware CowerSnail Linux es el hecho de que puede ser desplegado como parte de un ataque a gran escala que involucra a varios virus. Un escenario posible sería utilizar otra amenaza de virus para que la infección inicial y utilizar el troyano para la realización de espionaje y acciones de control remoto. La principal amenaza puede recuperar la C&servidores C y comandos asociados que pueden ser alimentados a CowerSnail.

Los expertos en seguridad han descubierto que una vez que las infecciones por el virus han tenido lugar unos componentes de hardware de todo el sistema de análisis se ejecuta y los datos resultantes se envía a los delincuentes. Los datos recogidos pueden ser utilizados para las estadísticas o para descubrir otras vulnerabilidades en los dispositivos comprometidos. Se encontró que las muestras de virus CowerSnail Linux capturados para proporcionar una extensa lista de características:

  • Actualizaciones automáticas - El código del virus CowerSnail Linux permite a los archivos de actualización automática a sí mismos cuando una nueva versión es emitida por los desarrolladores.
  • Ejecución de comandos arbitrarios - Una infección activa CowerSnail permite a los operadores remotos ejecutar comandos de su elección.
  • Instalación de servicios - El malware puede ser desplegado como un servicio del sistema, que afecta gravemente la capacidad de controlarlos. Los servicios por lo general se ejecutan en el arranque del sistema y se pueden modificar mediante privilegios de superusuario que algunos usuarios de Linux pueden no ser capaces de adquirir. Este método de infección es muy similar a los rootkits peligrosos. Versiones avanzadas del virus CowerSnail Linux pueden incluso infiltrarse en el kernel mediante la adición de nuevos módulos a ella. Los delincuentes también pueden instruir a la instancia malicioso para sustraerse a los huéspedes infectados.
  • La recolección de información detallada - Si se le indica que el virus CowerSnail Linux también puede extraer información adicional acerca de las máquinas. El malware se ha encontrado para ser capaz de recoger los siguientes datos: fecha y hora de la instalación, detallada nombre del sistema operativo y la versión, computadora (anfitrión) nombre, detalles acerca de todos los dispositivos de red disponibles, la interfaz de aplicación binaria (AYUDA) y la información del procesador y la memoria.

Virus CowerSnail Linux y el SambaCry de Troya (CVE-2017-7494) Conexión

SambaCry imagen Virus troyano

Se han encontrado los operadores de virus CowerSnail Linux para usar la misma C&servidores C como el SambaCry de Troya. Además, parece que algunos de la base de código se obtienen de los programas maliciosos. Este es un troyano que infecta las máquinas vulnerables a la llamada EternalRed o explotan SambaCry(CVE-2017-7494). El aviso se lee la siguiente:

Todas las versiones de Samba desde 3.5.0 en adelante son vulnerables a una vulnerabilidad de ejecución remota de código, permitiendo que un cliente malicioso para cargar una biblioteca compartida a una parte grabable, y luego hacer que el servidor para cargar y ejecutar lo.

Esta es una debilidad importante en la aplicación de software Samba del protocolo SMB que se utiliza en ambas distribuciones de Linux y otros sistemas relacionados como Mac OS X. Las versiones afectadas de vulnerabilidad que se remontan 2010 y que sólo recientemente ha sido parcheado después de que los expertos en seguridad descubrieron el error. El SambaCry troyano se ejecuta un comando predefinido con superusuario (raíz) privilegios que inicia el proceso de infección:

  1. Revertir Shell de inicio - El análisis de seguridad muestra que la primera etapa es la ejecución de una cáscara inversa que se conecta a predefinido sever remoto. Esto le da a los atacantes la capacidad de controlar a distancia los huéspedes infectados en un momento dado.
  2. La infiltración de malware - El troyano Linux SambaCry ha sido utilizado por los piratas informáticos para infiltrarse en las máquinas de todo el mundo y propagar virus y otras amenazas.
  3. Crypto moneda Minería - Una gran parte de los anfitriones infectados han sido reportados para incluir un cripto minero moneda Monero. Que se descarga desde un host remoto y comenzó en el equipo host. Utiliza los recursos del sistema a la moneda de cifrado de minas que se transfiere a la cartera digital de los piratas informáticos.

Minería moneda digital se ha convertido en una tendencia reciente entre los hackers como una gran red de máquinas infectadas puede generar un ingreso generoso. Los ingenieros de seguridad descubrieron que un Monero populares “minero” herramienta ha sido modificado en la carga útil - se ejecuta automáticamente utilizando los parámetros codificados si no se les da a ella. Esto es similar a la ataque de virus Adylkuzz.

Artículo relacionado: El 10 Mejores métodos sobre cómo mejorar la seguridad de Linux

Cuidado con los más actualizaciones de virus CowerSnail Linux

Pues resulta que el virus CowerSnail Linux es una versión modificada de una amenaza previa. Suponemos que el colectivo de hackers detrás de él va a lanzar nuevos programas maliciosos en el futuro, así, ya que tienen un historial de producir virus peligrosos.

Los usuarios de Linux deben tener cuidado al usar sus sistemas ya que la mayoría de las infecciones son causadas por software vulnerable. actualizar constantemente sus equipos y se basan en las mejores tácticas de seguridad - el sentido común. No descargar o ejecutar secuencias de comandos o el software de fuentes no confiables y mantenerse actualizado para todas las amenazas más recientes.

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo