Shikitega que adopta una cadena de infección de varias etapas para comprometer los puntos finales y los dispositivos IoT
Hasta hace poco, en comparación con Windows, los usuarios de Linux teníamos un mito que muchos creían, que en Linux no existían virus y no era susceptible a ataques.
Sin embargo, nuevos datos muestran que las tendencias en ciberataques están cambiando. Según los datos presentados por el equipo de Atlas VPN, la cantidad de malware nuevo para Linux alcanzó un máximo histórico en la primera mitad de 2022, ya que se descubrieron casi 1,7 millones de muestras. Los investigadores dieron a conocer una nueva variedad de malware para Linux que se destaca por su sigilo y sofisticación para infectar servidores tradicionales y pequeños dispositivos de Internet de las cosas.
En comparación con el mismo período del año pasado, cuando se descubrieron 226 324 muestras, la cantidad de malware nuevo para Linux se disparó en casi un 650 %. Al observar la cantidad de nuevas muestras de malware de Linux trimestre a trimestre, en el primer trimestre de este año disminuyó un 2% de 872,165 en el cuarto trimestre de 2021 a 854,688 en el primer trimestre de 2022. En el segundo trimestre, las muestras de malware cayeron de nuevo, esta vez un 2,5%, hasta los 833.059.
Apodado Shikitega por los investigadores de AT&T Alien Labs que lo descubrieron, este malware se distribuye a través de una cadena de infección de varios pasos utilizando codificación polimórfica. También utiliza servicios en la nube legítimos para alojar servidores de comando y control. Estos elementos hacen que la detección sea extremadamente difícil.
“Los actores de amenazas continúan buscando nuevas formas de entregar malware para permanecer bajo el radar y evitar la detección”, escribió el investigador de AT&T Alien Labs, Ofer Caspi. “El malware Shikitega se entrega de una manera sofisticada, utiliza un codificador polimórfico y entrega gradualmente su carga útil donde cada paso revela solo una parte de la carga útil total. Además, el malware abusa de los servicios de alojamiento conocidos para alojar sus servidores de mando y control. »
El malware descarga y ejecuta meterpreter «Mettle» de Metasploit para maximizar su control sobre las máquinas infectadas; Shikitega explota las vulnerabilidades del sistema para obtener privilegios elevados, persistir y ejecutar crypto miner. El malware utiliza un codificador polimórfico para que sea más difícil de detectar para los motores antivirus. Shikitega abusa de los servicios legítimos de computación en la nube para almacenar algunos de sus servidores de comando y control (C&C).
Es una implementación de código nativo de un Meterpreter, diseñado para portabilidad, capacidad de integración y bajo uso de recursos. Puede funcionar en los objetivos embebidos de Linux más pequeños hasta los más potentes, y se dirige a Android, iOS, macOS, Linux y Windows, pero se puede migrar a casi cualquier entorno compatible con POSIX.
El nuevo malware como BotenaGo y EnemyBot ilustra cómo los autores de malware están integrando rápidamente las vulnerabilidades recién descubiertas para encontrar nuevas víctimas y aumentar su alcance. Shikitega utiliza una cadena de infección de varias capas, la primera de las cuales contiene solo unos pocos cientos de bytes, y cada módulo es responsable de una tarea específica, desde descargar y ejecutar el meterpreter de Metasploit, explotar las vulnerabilidades de Linux, configurar la persistencia en la máquina infectada hasta que un cryptominer se descarga y ejecuta.
El malware es un archivo ELF muy pequeño, cuyo tamaño total es de solo unos 370 bytes, mientras que el tamaño real del código es de unos 300 bytes. El malware utiliza el codificador polimórfico XOR de retroalimentación aditiva Shikata Ga Nai, que es uno de los codificadores más populares utilizados en Metasploit. Con este codificador, el malware pasa por múltiples bucles de decodificación, donde un bucle decodifica la siguiente capa, hasta que se decodifica y ejecuta la carga útil final del código shell.
Después de varios bucles de descifrado, el código de shell de carga útil final se descifrará y ejecutará,dado que el malware no utiliza ninguna importación, utiliza int 0x80 para ejecutar la llamada al sistema adecuada. Como el código principal del dropper es muy pequeño, el malware descargará y ejecutará comandos adicionales desde su mando y control llamando al 102 syscall ( sys_socketcall ).
El C&C responderá con comandos de shell adicionales para ejecutar.
Los primeros bytes marcados son los comandos de shell que ejecutará el malware.
El comando recibido descargará archivos adicionales del servidor que no se almacenarán en el disco duro, sino que se ejecutarán solo en la memoria.
En otras versiones del malware, utiliza la llamada al sistema execve para ejecutar /bin/sh con el comando recibido del C&C.
El siguiente archivo descargado y ejecutado es un pequeño archivo ELF adicional (alrededor de 1 kB) codificado con el codificador Shikata Ga Nai. El malware descifra un comando de shell que se ejecutará llamando a syscall_execve con ‘/bin/sh’ como parámetro con el shell descifrado. El dropper de la segunda etapa descifra y ejecuta los comandos de shell. El comando de shell ejecutado descargará y ejecutará archivos adicionales. Para ejecutar el dropper de etapa siguiente y final, explotará dos vulnerabilidades en Linux para aprovechar los privilegios: CVE-2021-4034 y CVE- 2021-3493.
Investigadores de Zimperium zLabs han descubierto una nueva aplicación maliciosa con múltiples funcionalidades que se hace pasar por una actualización del sistema.
Este nuevo troyano enfocado al robo de información cuenta con múltiples funcionalidades, desde la recopilación de búsquedas en el navegador hasta la grabación de audio y llamadas telefónicas. A continuación dejamos una lista con las características.
Funcionalidades
Robo de mensajes de aplicaciones de mensajería. Robo de archivos de base de datos de las aplicaciones de mensajería instantánea. Inspeccionar los marcadores y las búsquedas del navegador predeterminado. Inspeccionar el historial de marcadores y búsquedas de Google Chrome, Mozilla Firefox y el navegador de Internet Samsung. Búsqueda de archivos con extensiones específicas (incluidos .pdf, .doc, .docx y .xls, .xlsx). Inspeccionar los datos del portapapeles. Inspeccionar el contenido de las notificaciones. Grabación de audio. Grabación de llamadas telefónicas. Tomar fotografías periódicamente (ya sea a través de la cámara frontal o trasera). Listar las aplicaciones instaladas. Robar imágenes y vídeos. Monitoreo de la ubicación GPS. Robo de mensajes SMS. Robo de contactos telefónicos. Robo del registro de llamadas. Extracción de información del dispositivo (por ejemplo, aplicaciones instaladas, nombre del dispositivo, estadísticas de almacenamiento). Ocultar su presencia ocultando el icono.
Si bien el malware en Android anteriormente se ha disfrazado de aplicaciones legítimas esta nueva aplicación maliciosa se hace pasar por una actualización del sistema para tomar el control de los dispositivos comprometidos.
«El software espía crea una notificación si la pantalla del dispositivo está apagada usando el servicio de mensajería Firebase», dijeron los investigadores de Zimperium. Esta notificación nos notifica una búsqueda de actualizaciones falsa.
Una vez instalada, la aplicación espía comienza su tarea registrando el dispositivo en un servidor de comando y control (C2) de Firebase con información como el porcentaje de batería, estadísticas de almacenamiento y si el teléfono tiene WhatsApp instalado, seguido de la acumulación y exportación de cualquier dato de interés para el servidor en forma de archivo ZIP cifrado.
«La funcionalidad del software espía y la exfiltración de datos se activan bajo múltiples condiciones, como un nuevo contacto agregado, un nuevo SMS recibido o una nueva aplicación instalada haciendo uso de los receptores contentObserver y Broadcast de Android«, dijeron los investigadores.
Además, el malware no solo organiza los datos recopilados en varias carpetas dentro de su almacenamiento privado, sino que también elimina cualquier rastro de actividad sospechosa al eliminar los archivos ZIP tan pronto como recibe un mensaje de «éxito» del servidor C2 después del envío de los datos robados.
Aunque la aplicación «System Update» nunca se ha distribuido a través de la tienda oficial de Google Play, la investigación destaca una vez más cómo las tiendas de aplicaciones de terceros pueden albergar malware peligroso. La identidad de los autores de este malware y el objetivo o motivo final de la campaña aún no están claros.
Es muy fácil y útil comprimir archivos y sobre todo carpetas enteras desde consola. Es útil a la hora de realizar backups o copias de seguridad de directorios, ya que permite comprimir un directorio entero y descargarlo de forma más segura y más cómoda.
El comando te tienes que ejecutar desde la consola es el siguiente: tar -zcvf nombre-archivo.tar.gz nombre-directorio
Donde,
-z: Comprimir archivos usando gzip
-c: Crear un nuevo archivo
-v: Verbose, es decir, mostrar el proceso durante la creacion del archivo
-f: nombre de archivo
Ahora bien, Como Descomprimir un archivo .tar.gz.
El comando necesario para descomprimir sería el mismo pero cambiando algunos atributos.
tar -xvzf miarcho.tar.gz
Donde,
-x: extrae el contenido del archivo comprimido
-v: Verbose, es decir, mostrar el proceso durante la creacion del archivo
-f: nombre de archivo
Otros formatos y comandos para comprimir y descomprimir mas usados
Ficheros gz
Comprimir gzip -9 fichero
Descomprimir gzip -d fichero.gz
Ficheros bz2
Comprimir bzip fichero
Descomprimir bzip2 -d fichero.bz2
Tanto gzip como bzip2 solo comprimen ficheros. No son capaces de empaquetar carpetas, para esto se utiliza el comando tar que he indicado anteriormente.
Ficheros zip
Comprimir zip archivo.zip ficheros
Descomprimir unzip archivo.zip
Ficheros rar
Comprimir rar -a archivo.rar ficheros
Descomprimir rar -x archivo.rar
Tags de búsquedas:
comprimir carpeta linux, comprimir carpeta en linux, comprimir una carpeta en linux, linux comprimir carpeta, comprimir carpetas linux, comprimir directorio linux, comprimir carpeta tar gz, comprimir carpetas en linux, comprimir carpeta tar, comprimir una carpeta linux
Cuando necesitemos ver las IP’s que se encuentran baneadas en el server, simplemente ejecutamos el siguiente comando:
iptables -vnL
Nos aparece algo parecido a la imagen siguiente, hay que fijarse en la información que nos indica fail2ban-SERVICIO para borrar el que nos interesa.
Si nuestra intención es desbanear la IP 14.141.36.216 del servicio ssh, debemos ejecutar el siguiente comando:
iptables -D fail2ban-ssh 2
Si ven en el comando anterior pusimos el número 2 el cual nos indica que del listado queremos desbanear la línea número 2, que es donde se encuentra la IP antes mencionada.
En varias ocasiones he tenido que utiliar el comando htpasswd para que el sitio web solicite nombre de usuario y contraseña a quienes deseen ver el sitio desde fuera de una red interna.
Para comenzar el htpasswdse utiliza para creary actualizarlosficheros planosusados para almacenarnombres de usuario ycontraseña para la autenticaciónbásica deusuariosHTTP. Forma de uso.
Crear un nuevoarchivo de contraseñas asignando un usuario
# htpasswd -c /var/claves/claves_sitio vusano
New password:
Re-type new password:
Adding password for user vusano
Siguiente comando es para actualizar la password del usuario vusano.Siel archivo existe yno se puede leer, o nose puede escribir, no se podrá guardar la nueva contraseña yhtpasswdmostraráun mensaje de error.
# htpasswd /var/claves/claves_sitio vusano
New password:
Re-type new password:
Updating password for user vusano
