Malware en plataformas no Windows

En muchos seminarios, algunos de los asistentes me dicen que utilizan sistemas GNU/Linux porque “solucionan todos los problemas generados por el malware” debido a que “no existen códigos maliciosos para estas plataformas”; incluidos sistemas Mac/OS.

La realidad actual en torno al problema del malware a nivel global marca una tendencia en cuanto al desarrollo de programas dañinos orientados exclusivamente a plataformas no Windows; siendo su fundamento más directo, la cada vez mayor utilización de estas plataformas tanto a nivel hogareño como a nivel corporativo. Si bien se refleja un gradual aumento en cuanto al uso de estos sistemas, no significa que las plataformas de Microsoft serán reemplazadas ni que desaparecerán los códigos maliciosos desarrollados para Windows.

La cuestión es que los códigos maliciosos en plataformas GNU/Linux o Mac/OS (basada en BSD) no son novedosos, de hecho el primer gusano de la historia del malware fue el gusano de Morris (cuya propagación se produjo al explotar una vulnerabilidad en sendmail), y son muchos los antecedentes que encontramos a lo largo de la evolución misma de los códigos maliciosos.

Muchos de ellos fueron seguidos de cerca desde nuestro Laboratorio y, casos como “Psyb0t, infección en ¡routers!, ¡módems! y ¡Linux!” y “Elige tu malware para Windows o Mac” son ejemplos concretos que dejan en evidencia la necesidad de también proteger estos entornos. De todos modos, para desmitificar aún más la creencia errónea sobre la no existencia de malware para otras plataformas que no sean Windows, les muestro una captura con códigos maliciosos desarrollados para GNU/Linux encontrados en un servidor.

Malware en GNU/Linux

Como podemos apreciar, cada uno de los archivos extraídos del sistema GNU/Linux fue explorado con ESET Smart Security con los resultados que podemos ver en la imagen. Los códigos maliciosos que detectó la solución de ESET son:

  • Linux/Rootkit.Agent.N
  • Linux/Rootkit.Agent.Q
  • Linux/Hacktop
  • Linux/Lion
  • Linux/Sniffer.Sysniff
  • Otras variantes

Cada uno de estos códigos maliciosos (troyanos y gusanos) constituyen herramientas que le permiten al atacante esconder las actividades maliciosas, en este caso llevadas a cabo en el servidor de archivos (Linux/Rootkit.Agent); propagarse por cada nodo de la red con plataformas GNU/Linux, incluidos otros servidores (Linux/Lion), realizar escuchas en la red (Linux/Sniffer.Sysniff); entre otras actividades intrusivas.

Lamentablemente la tendencia en el desarrollo de malware para plataformas GNU/Linux y MacOS, o multiplataformas (capacidad de detectar en qué sistema operativo se esta ejecutando), irá en aumento en relación directa con la masividad de uso por parte de los usuarios.

Jorge

Autor , ESET

  • PAULOGARCIA2005
  • El impacto de este tipo de gusanos en linux, a diferencia de otras plataformas, radica mas, en la capacidad que tenga el sysadmin para “asegurar” su sistema linux.

    Por ejemplo, los “rootkits” que muestras, se aprovechan de vulnerabilidades conocidas y solucionadas en productos mas recientes.

    De ahi, que se hace indispensable, mantener tu software actualizado.

    Ademas.. existen softs que ayudan a identificar y asegurar correctamente tu servidor.

    en lo personal (y administro unos 100 servidores) no he tenido, hasta el momento ningun inconveniente, ni violacion a la seguridad en mis servidores Linux.

  • Hola John, es correcto lo que dices, pero lamentablemente muchos no atienden esta cuestión de seguridad que tan comúnmente es explotada. El problema de la necesidad de mantener el OS actualizado (incluso las aplicaciones) no se limita sólo a plataformas Microsoft.

    Como bien mencionas, muchas son vulnerabilidades conocidas y solucionadas por sus respectivos fabricantes, sin embargo existe un alto porcentaje de infección a través de la explotación de debilidades de este estilo, incluso, con vulnerabilidades que datan de más de tres años atrás.

    En este sentido, un ejemplo concreto fue el dado por el gusano Conficker. Muchas compañías ni siquiera vieron pasar al gusano y eso tiene que ver con a adecuada gestión de actualizaciones y atención de manera responsable sobre otras cuestiones de seguridad.

    Aún así, sin importar la plataforma de la cual hablemos, ninguna queda al margen de la problemática, y la tendencia marca que los códigos maliciosos se irán acercando cada vez más a plataformas no Windows.

    Te mando un cordial saludo y gracias por el aporte.

    Jorge

  • Estimado Jorge, lo que dices con respecto a las actualizaciones, es muy cierto, pero si nos vamos un poquito al campo tecnico, para un programador, va a ser mucho mas dificil saltarse el esquema de permisos de GNU/Linux, que el sistema de permisos de MS Windows, a eso voy, cuando hablo de asegurar correctamente un servidor.

    Veras…

    Hay muchos administradores que no se preocupan por tener correctamente seteado el BIT SUID de los archivos en Linux, el cual, basicamente permite a los mismos ejecutarse con privilegios de ROOt, este vector de ataque es uno de los mas comunmente utilizado por los rootkits para auto-elevarse privilegios sin consentimiento del administrador.

    Otro vector de ataque potencialmente peligroso viene de la no-limitacion que hacen algunos administradores de servidores GNU/Linux a la cantidad de procesos que puede tener un usuario en ejecucion, este es otro problema de seguridad muy utilizado por los rootkits, buscando una denegacion de servicio o un cuello de botella para auto-elevarse privilegios.

    Otro problema de seguridad, esta relacionado con el mostrar las versiones del software que se esta utilizando (algo que casi el 100% de los administradores inexpertos hace), veras, de la informacion mas valiosa que puedes extraer de un servidor pobremente configurado es el “versionaje” o las versiones del soft que se esta usando en el mismo y asi, preparar un ataque dirigido a vulnerabilidades conocidas de facil explotacion en el mismo.

    Asi como vemos, la administracion de los servidores (sean Windows, Linux, Unix o Unix-like) es un tema muy importante a la hora de configurar un buen esquema de seguridad, puesto que sin importar el entorno en el que te desenvuelvas, siempre vas a tener un vector de ataque al que debes de poner atencion.

    en conclusion: los servidores deben ser administrados por personal CALIFICADO y no por “aficionados” o por administradores pobremente capacitados.

  • Efectivamente John, los problemas de seguridad a los cuales se encuentra expuesto cualquier entorno de información, sin importar la plataforma, posee un horizonte muy amplio y, es verdad que la ventana de vulnerabilidad en ese sentido, muchas veces se encuentra en las manos de quien/quienes administren la plataforma.

    Coincido completamente con la visión en cuanto a problemas de seguridad, donde básicamente estamos hablando de hardening en general sobre el entorno, ya que, como bien mencionas “siempre vas a tener un vector de ataque al que debes de poner atención” :-)

    Con respecto a lo de personal “calificado”, lamentablemente todavía, en muchos aspectos nos enfrentamos a problemas que tienen que ver con la falta de presupuesto para ofrecer capacitación continua a quienes realmente la necesitan. Este aspecto es muy común de encontrar en ambientes gubernamentales donde hablar de presupuesto es limitado, sobre todo cuando el objetivo es la capacitación.

    Muy interesante la perspectiva con la cual estás viendo la problemática, que en definitiva así debería ser para intentar abarcar todos los aspectos de seguridad y sus debilidades, o potenciales puntos vulnerables.

    Nuevamente agradezco el valioso aporte.

    Jorge

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Snow Leonard incorpora filtro contra malware en Mac OS()

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Un troyano para Linux se distribuye como protector de pantalla()

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Troyano para Linux activo por más de 6 meses()

  • Pingback: Troyano detectado en Linux()

Síguenos