Aparte del alto potencial de ganancias, cryptomining software malicioso se ve favorecida por los agentes de amenaza debido a su capacidad para no ser detectados en el sistema. Windows y MacOS ambos han sido blanco de cryptominers, y ahora parece que Linux se ha apuntado, así. Por supuesto, este no es el primer caso de Linux caer victom a un cryptominer pero estas infecciones no son tan comunes.
Trend Micro llegó recientemente a través de un software malicioso cryptomining que se detectan como Coinminer.Linux.KORKERDS.AB, o simplemente KORKERDS.
Más acerca del KORKERDS Miner y Rootkit
El software malicioso se dirige específicamente a los sistemas Linux, y se caracteriza por ser incluido con un componente rootkit conocido como Rootkit.Linux.KORKERDS.AA. El rootkit sirve para ocultar la presencia de los procesos maliciosos de herramientas de monitoreo, eludiendo así las detecciones. La única indicación de esta infección sería los problemas de rendimiento de una máquina comprometida está experimentando. En cuanto al componente de rootkit, los investigadores decir eso:
Mientras que el rootkit no ocultar el uso de la CPU y las conexiones de alta hecha por el minero criptomoneda, que mejoró su sigilo con sólo editar unas pocas líneas de código y la reutilización de código o herramientas existentes. Y con la capacidad del software malicioso que se actualice, esperamos que sus operadores para añadir más funciones para hacer su malware más rentable.
Coinminer.Linux.KORKERDS.AB también está utilizando ofuscación y embalaje, y también es capaz de actualización y actualizar en sí, así como su archivo de configuración.
Cabe señalar que el modelo de permisos en los sistemas operativos Unix y Unix como Linux hacen que sea más complejo para ejecutar archivos ejecutables con privilegios. Debido a esto, los investigadores creen que el vector de infección de la cryptominer es un malintencionado, complemento de terceros que puede haber sido comprometida.
La instalación de un plugin de este tipo requiere otorgarle derechos de administrador, y en el caso de las aplicaciones comprometidas, el malware puede ejecutar con los privilegios concedidos a la aplicación, Trend Micro señaló. Esta no es una situación inusual, ya que otros mineros de Linux también lo han utilizado como un punto de entrada.
El informe de Trend Micro contiene una descripción técnica completa sobre la infección de KORKERDS, incluyendo los nombres de archivo, los procesos y los valores hash de archivo que puede ser útil para los usuarios de Linux que deseen localizar a los mineros y revertir el sistema infectado.
Cómo mejorar la seguridad de Linux contra Infecciones de malware: Consejos
se debe notar que, debido a su ubicuidad en la gestión y el mantenimiento de los procesos de negocio, tales como servidores, estaciones de trabajo, los marcos de desarrollo de aplicaciones, cryptocurrening mineros puede causar problemas de rendimiento significativas en los sistemas Linux. En ese sentido, los investigadores de seguridad comparten algunas prácticas que deben ser considerados por TI y administradores de sistemas:
- Desactivación, eliminar o reducir al mínimo el uso de bibliotecas no verificadas o repositorios para hacer cumplir el principio de privilegio mínimo;
- El endurecimiento de los sistemas mediante el uso de extensiones de seguridad verificadas para hacer frente a los errores de configuración;
- La reducción de la superficie de ataque del sistema a través de las políticas de control de acceso que gestionan el acceso a los archivos y el sistema o recursos de red;
- monitoreo periódico de los sistemas y redes para actividades anómalas;
- Regularmente parchear los sistemas para prevenir vulnerabilidades de la explotación;
- El uso de versiones actualizadas de las aplicaciones basadas en servidor para reducir al mínimo los riesgos de comportamiento;
- Y finalmente, que emplean mecanismos de seguridad tales como la detección de intrusiones y sistemas de prevención.