Saltar al contenido
Criptogen

Malware elimina servidores de seguridad de Linux para minar Monero

enero 22, 2019
Una investigación determinó cómo funciona Rocke, un potente malware que elimina protocolos de seguridad de Linux para minar Monero

La Unidad 42 de Palo Alto Networks reveló que encontró muestras de un malware utilizado por un grupo llamado Rocke, para infiltrarse en los sistemas de Linux y minar la criptomoneda Monero. El análisis demostró que el equipo malicioso atacó cinco productos de monitoreo y protección de seguridad diferentes en la nube, que podrían bloquear otras actividades maliciosas en los hosts comprometidos.

La investigación evidenció además que se trató de una estrategia minuciosa e inteligente. Los ataques obtuvieron primero el control administrativo total sobre los hosts, para luego abusar de ese control administrativo y desinstalar estos productos de la misma manera que lo haría un administrador legítimo.

Según la Unidad 42, estos productos fueron desarrollados por Tencent Cloud y Alibaba Cloud (Aliyun). Estos son dos proveedores de nube líderes en China que están expandiendo su negocio a nivel mundial. «Esta es la primera familia de malware que desarrolló la capacidad única de apuntar y eliminar productos de seguridad en la nube», aseguran.

Así funciona el malware

El grupo Rocke explota vulnerabilidades en Apache Struts 2, Oracle WebLogic y Adobe ColdFusion. Esto con el propósito de entregar el malware a las máquinas víctimas. Los investigadores ofrecieron más detalles al respecto:

«Por ejemplo, al explotar la vulnerabilidad de Oracle WebLogic CVE-2017-10271 en Linux que se muestra en la Figura 1, una máquina víctima de Linux comprometida descarga backdoor 0720.bin y abre un shell».

Figura 1. Fuente: Unidad 42.
Figura 1. Fuente: Unidad 42.

Una vez que el host se ha comprometido, el malware descarga un script llamado a7 en el sistema y permite la persistencia mediante el uso de cronjobs.

Cron es una función normal Linux que le permite programar tareas llamadas «Cron Jobs», para operar sin asistencia en una frecuencia específica. Por ejemplo, podrá configurar la frecuencia de una tarea para operar dos veces por hora, los lunes a las 8:00 a.m. o los fines de semana a las 12:00 p.m. y 6:00 p.m. Fuente: Go Daddy

Además, puede eliminar todos los demás procesos de minería que se ejecutan en el mismo host, bloquear otro malware con las reglas de iptables, ocultar su proceso malicioso, matar otros procesos de minería criptográfica, ajustar la fecha del archivo malicioso y desinstalar productos de seguridad en la nube basados ​​en agentes.

“Después de que se desinstalen los productos de monitoreo y seguridad en la nube basados ​​en agentes, el malware utilizado por el grupo Rocke comienza a mostrar comportamientos maliciosos. Creemos que este comportamiento de evasión único será la nueva tendencia para el malware que se dirige a la infraestructura de la nube pública «, señala el equipo de investigación de seguridad.

Sobre los sistemas chinos

Estos programas apuntan principalmente a productos de seguridad desarrollados por Alibaba y Tencent, por lo que se podría pensar que los ataques vienen de China. Sin bien Unidad 42 determinó que ambas plataformas poseen soluciones de protección de seguridad, estas pueden desinstalarse.

*Quizás te pueda interesar: Este virus ruso podría usar tu ordenador para minar criptomonedas

Así, por ejemplo, Tencent Cloud ofrece Tencent Host Security, el cual proporciona funciones de seguridad clave como la detección y eliminación de troyanos en función del aprendizaje automático, la alerta de descifrado de contraseñas, entre otras.

Por su parte Alibaba Cloud (Aliyun) ofrece un producto de seguridad en la nube denominado Servicio de Detección de Amenazas. Esta permite el escaneo y eliminación de malware, administración de vulnerabilidades, análisis de registros y análisis de amenazas basado en big data.

Sin embargo, la investigación reveló que los sitios web oficiales de Tencent Cloud y Alibaba Cloud proporcionan documentos para guiar a los usuarios sobre cómo desinstalar sus productos de seguridad en la nube.

Aprovechando esa información, el grupo Rocke siguió el procedimiento de desinstalación. Además de publicaciones de blogs aleatorias en internet.

El equipo de Unidad 42 ya se comunicó con las empresas para abordar el problema de evasión de malware y su infraestructura C2.