25 jul 2014

Mayhem: malware que infecta sistemas *nix web servers

Los investigadores de seguridad del gigante ruso Yandex han descubierto un nuevo malware, al que denominaron Mayhem [PDF], y que está siendo utilizado para infectar servidores Linux y FreeBSD y hacerlos formar parte de una botnet, incluso sin necesidad de ningún privilegios de root.
Mayhem es un malware modular que incluye diferentes tipos de código cuyo objetivo es infectar sólo aquellas sistemas que no están actualizados con los últimos parches de seguridad. Hasta ahora, los investigadores han encontrado más de 1.400 servidores Linux y FreeBSD comprometidos por el malware. La mayoría de las máquinas comprometidas están situadas en Estados Unidos, Rusia, Alemania y Canadá.

Mayhem fue detectado por primera vez en abril de 2014 y en ese momento formaba parte de una campaña de ataques de fuerza bruta denominada "Fort Disco" descubiertea por Arbor Networks en 2013. Ya había sido analizado previamente por Malware Must Die pero ahora los tres expertos de Yandex que descubrieron los ataques fueron capaces de rastrear las transmisiones de los sistemas infectados a dos C&C.

Los investigadores dicen que este nuevo tipo de malware puede trabajar con privilegios restringidos en los sistemas y han sido creados para mantener múltiples funcionalidades. El ataque se lleva a cabo mediante un script PHP bastante sofisticado y que tiene una tasa de detección baja por los motores antivirus.

Inicialmente se establece la comunicación con los servidores de C&C que pueden enviar el malware diferentes instrucciones. Al ser modular, Mayhem puede ampliar sus funciones mediante plugins y por el momento se han descubierto ocho que se enumeran a continuación:
  • rfiscan.so: encuentra sitios web que contienen una vulnerabilidad de inserción de archivos remotos (RFI)
  • wpenum.so: enumera los usuarios de sitios WordPress
  • cmsurls.so: identifica páginas de inicio de sesión de usuario en sitios basados en el CMS WordPress
  • bruteforce.so: fuerza bruta de contraseñas para sitios basados en WordPress y Joomla
  • bruteforceng.so: fuerza bruta de contraseñas para casi cualquier página de inicio de sesión
  • ftpbrute.so: fuerza bruta de cuentas FTP
  • crawlerng.so: rastrea páginas web (por URL) y extrae información útil
  • crawlerip.so: rastrea páginas web (por IP) y extrae información útil
Una vez que el malware explota un RFI, o cualquier otra debilidad, se ejecuta un script PHP en la víctima. El script PHP mata todos los procesos de '/ usr/bin/host', comprueba la arquitectura del sistema operativo (ya sea Linux o FreeBSD) y luego instala un objeto malicioso identificado como 'libworker.so'.

El malware entonces crea una serie sistema de archivos ocultos, se comunica con el C&C y descarga todos plugins (ninguno de los cuales fueron detectados por los antivirus). Los investigadores de Yandex advirtieron que los plugins están en  circulación y una de las vulnerabilidades que explota es Heartbleed.

Si está interesado en malware en Linux también puede leer los documentos sobre 'CDorked' y 'Ebury'.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!