Linux / Rakos es el nombre de la última malware Linux actualmente en el flojo. El malware está diseñado para buscar a las víctimas a través de la exploración de SSH. El código está escrito en el lenguaje de Go. El binario es más probable comprimida utilizando la herramienta estándar UPX, los investigadores dicen.
Los usuarios se han quejado de que sus dispositivos embebidos han sido sobrecargado de tareas informáticas y de red. El culpable parece ser el malware Linux / Rakos.
Relacionado: Linux / NyaDrop: Nuevo malware en el IO Horizonte
Los ataques Linux / Rakos Explicación
Los ataques se basan en los intentos de forzar a los inicios de sesión SSH. Esta es la forma en Linux piezas de malware suelen operar. Otro ejemplo de este tipo de ataque es el Linux / Moose. Linux / Rakos puede comprometer ambos dispositivos y servidores integrados con un puerto SSH abierto. El puerto está protegido pero la contraseña es bastante simple y fácil de adivinar.
Una vez que el malware se ha hecho cargo de un dispositivo, puede incluirlo en una red de bots que sirve para diversas actividades maliciosas. Para uno, el malware escanea la Internet de una lista limitada de direcciones IP, y luego se extenderá a sí mismo más dispositivos.
Relacionado: Los routers basados en Linux Linux.PNScan malware bruta Fuerzas
Lo que el malware se quiere hacer es crear una lista de dispositivos sin garantía. Entonces sería intentar crear una red de bots que consta de los zombies como sea posible. La exploración se iniciaría una lista limitada de direcciones IP y que luego se extendió a más objetivos. Por suerte, sólo los dispositivos con baja seguridad están en peligro por Linux / Rakos. ¿Qué significa este? Algunos usuarios han reportado tener contraseñas fuertes, pero olvidar desactivar el servicio en línea de su dispositivo. La contraseña se ha cambiado de nuevo a un defecto después de un restablecimiento de fábrica. Los investigadores dicen que para que esto suceda sólo se necesitaban varias horas de exposición en línea.
¿Cómo funciona un sistema Linux / Rakos Ataque de inicio?
La posibilidad de un ataque comienza cuando un archivo de configuración se carga a través de la entrada estándar en formato YAML. El archivo consta de listas de información de los servidores de comando y control. Las listas tienen credenciales para utilizar en los ataques de fuerza bruta. He aquí un ejemplo de una configuración del malware:
https://github.com/eset/malware-ioc/tree/master/rakos
¿Qué es la mitigación contra un Linux / Ataque Rakos?
Los investigadores dicen que el malware no puede configurar una instalación persistente. No obstante, los hosts atacados pueden ser atacados en varias ocasiones.
dispositivos infectados pueden ser fijados por los siguientes pasos, siguiendo las indicaciones de investigadores de ESET:
- Conectarse a su dispositivo mediante SSH / Telnet;
- Localizar un proceso llamado .javaxxx;
- ejecutar comandos como netstat o lsof con opción -n para makesure es responsable de las conexiones no deseadas;
- Reunir pruebas forenses por el vertido del espacio de memoria del proceso correspondiente (por ejemplo. con gcore). También se podría recuperar la muestra de borrado de / proc con cp / proc /{pid}/exe {archivo de salida}
- Terminar el proceso con la -KILL.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: