Linux/Snakso.A: rootkit diseñado para inyectar Iframe en servidores web

Hace algunos días, se descubrió un rootkit diseñado para servidores Linux y cuyo objetivo es inyectar etiquetas Iframe en páginas web legítimas para redirigir a los usuarios hacia sitios maliciosos. Detectado por ESET NOD32 Antivirus como Linux/Snakso.A, esta amenaza fue reportada por un administrador de sistemas que se dio cuenta a través del reclamo de algunos usuarios, que su servidor HTTP proxy Nginx, estaba redirigiendo a los internautas hacia páginas web maliciosas. Inmediatamente, el personal encargado de dicho sistema Linux, comenzó a investigar qué estaba sucediendo. En primera instancia notaron que las respuestas HTTP contenían un Iframe inyectado. Posteriormente, y tras varios análisis que realizaron sobre el servidor infectado, encontraron un rootkit de kernel y algunos procesos ocultos en el sistema como “write_startup_c” y “get_http_inj_fr”. Con todos estos antecedentes reunidos, los administradores comunicaron los hallazgos y la muestra del rootkit en una lista pública de investigación. A continuación se muestra una captura con parte del mensaje que compartieron estas personas:

Mensaje con información del rootkit

En este caso, el sistema infectado se trata de un servidor proxy Nginx montado en Debian. Por su parte, Linux/Snakso.A es un rootkit diseñado para funcionar en ambientes Linux de 64 bits y ha sido compilado para la versión 2.6.32-5 de Debian. Cuando esta amenaza se inicia, contacta a un servidor externo para comprobar qué tipo de inyección debe realizar, si una etiqueta Iframe o un fragmento de código Javascript. Dependiendo de la respuesta que se dé, este rootkit procede a modificar el tráfico HTTP utilizando la función tcp_sendmsg. Luego, intenta determinar el tipo de contenido de la respuesta para compararlo con una lista propia y proceder a la inyección. De acuerdo a CrowdStrike, Snakso posee la particularidad de utilizar el módulo de kernel zlib para descomprimir la respuesta en caso de que esta se encuentre comprimida con gzip. Una vez que la descomprime, inyecta código para posteriormente volver a comprimirla. Esta acción podría degradar el rendimiento del servidor, lo que lograría contribuir al descubrimiento de este código malicioso. Asimismo, este rootkit no verifica que el estado del tráfico a comprometer sea HTTP 200 (este número significa que está todo bien), sino que comprueba que la página no sea algún error 403, 304 o 404 (no se encuentra en el servidor). Una falla de diseño de esta técnica de “validación”, cuyo objetivo es encubrir la acción maliciosa de Snakso, es que no consideró el error 400 (solicitud incorrecta), motivo por el cual los administradores del servidor se dieron cuenta de tal infección.

Aunque no se trata de un rootkit complejo y algunos errores en su diseño interno permitieron su detección de forma relativamente rápida, sí demuestra que los cibercriminales están optimizando los mecanismos por los cuales comprometen sitios web legítimos para propagar códigos maliciosos. Por otro lado, este caso se suma al descubrimiento de otro rootkit que aunque no fue diseñado para inyectar etiquetas Iframe, afecta a otro sistema operativo poco usual en cuanto a malware. Más información puede ser consultada en el post Rubilyn: rootkit capaz de afectar computadoras Mac de 64 bit. También es importante mencionar que este tipo de acontecimientos reafirman la importancia de implementar una solución de seguridad como ESET Gateway Security para Linux. Independiente del sistema operativo que se utilice en la computadora, es imprescindible considerar aspectos de protección como el tecnológico (software destinado a la seguridad) y la concientización de los usuarios en general.

André Goujon
Especialista de Awareness & Research

Autor André Goujon, ESET

Síguenos

Recibir automáticamente nuevos posts por correo electrónico:

Soportado por FeedBurner



Archivos

Anterior
Copyright © 2014 ESET, Todos Los Derechos Reservados.