10 sept 2016

Pokémon Umbreon: Rootkit para Linux x86 y ARM

Un grupo de investigadores de TrendMicro han identificado una nueva familia de rootkits que afecta a sistemas operativos basados en Linux, su nombre es Umbreon, y lo más peligroso es que puede funcionar en modo de usuario sin necesidad permisos de superusuario para ejecutarse.

Este nuevo rootkit ha estado en desarrollo desde principios del año 2015, y es ahora cuando ha comenzado su venta en el mercado negro, por lo que el número de infecciones aumenta día tras día. Este rootkit afecta a los sistemas Linux que tienen arquitecturas x86, x86-64 y ARM, por lo que también están en riesgo una gran cantidad de switches y routers con arquitectura ARM y sistema base Linux. Algunos dispositivos muy populares con arquitectura ARM son por ejemplo routers domésticos de última generación, e incluso las populares Raspberry Pi y otros mini ordenadores de desarrollo. Muchos dispositivos del Internet de las Cosas también usan ARM, por lo que este rootkit podría hacer que el dispositivo se convierta en una botnet.

Umbreon es un rootkit de ring 3, esto significa que su ejecución es realizada por cualquier usuario en modo de usuario, y no tiene privilegios de Kernel (anillo 0), ni tampoco Hypervisor (anillo -1). Sin embargo, Umbreon es persistente, y además está totalmente oculto para que los administradores no lo detecten fácilmente. Lo más peligroso de este rootkit es que puede abrir una puerta trasera y usar un servidor Command and Control para que los atacantes se hagan con el control del equipo y espiar la máquina infectada.

Un detalle muy importante de Umbreon es que secuestra las funciones de librería C estándar (libc) sin instalar nada en el Kernel. Esta librería proporciona funciones de llamadas al sistema para que otros programas puedan realizar operaciones importantes como leer o escribir archivos, crear nuevos procesos e incluso enviar información. Este rootkit se sitúa en el medio de la comunicación como si realizara un ataque Man in the Middle por lo que puede alterar muchas funciones del sistema.

Cuando este rootkit infecta, lo primero que hace es crear un GID (group ID) particular en el sistema operativo que el atacante usa como backdoor Esta cuenta de usuario puede iniciar sesión a través de la PAM, por lo que podrían acceder remotamente por servicios como SSH. El rootkit se oculta muy bien, por lo que si intentamos leer los archivos passwd no aparecerá nada, esto es porque Umbreon captura la orden de mostrar el archivo ya que se llama a funciones de libc.

El backdoor instalado está basada en libpcap y lanza una shell cuando el atacante se conecta a él. A este componente los atacantes lo llamaron Espeon, un Pokémon de tipo psíquico. Espeon puede recibir instrucciones para establecer una conexión a la máquina atacante y funciona con una conexión reversa para eludir los firewall.
umbreon2
Recomendamos acceder a la investigación de Trend Micro sobre este rootkit Umbreon, donde publicaron un completo análisis del malware, incluyendo cómo detectarlo y también cómo eliminarlo.

Fuente: RedesZone

Suscríbete a nuestro Boletín

2 comentarios:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!