Backdoor Linux permite a hackers controle total sobre dispositivos vulneráveis

A empresa de segurança ESET descobriu uma nova forma de malware que está especificamente direcionada a dispositivos Linux incorporados com o objetivo de infectá-los e fornecer controle total aos hackers, deixando a porta aberta para uma série de outras tarefas perigosas, incluindo o lançamento de ataques DDoS.

Chamado Rakos, o novo malware lança ataques em dispositivos embutidos e servidores com uma porta SSH aberta e usa tentativas de força bruta para quebrar a senha.

A ESET afirma que os criadores do Rakos querem infectar o maior número possível de sistemas para criar uma botnet que poderia ser usada para outros ataques maliciosos, como ataques DDoS e propagação de spam.

No começo, os invasores fazem a varredura de sistemas vulneráveis ​​analisando intervalos de IP pré-definidos, mas dado o fato de que ataques de força bruta estão sendo usados ​​para interromper, apenas máquinas com senhas muito fracas são comprometidas.

Uma vez que o acesso é obtido e o malware atinge o dispositivo Linux, Rakos inicia um serviço HTTP local disponível na http://127.0.0.1:61314 com duas finalidades diferentes.

O primeiro é como um método astuto para as futuras versões do bot para matar as instâncias em execução, independentemente do seu nome, solicitando http://127.0.0.1:61314/et; Em segundo lugar, ele tenta analisar uma consulta de URL para os parâmetros 'ip', 'u', 'p' ao solicitar http://127.0.0.1:61314/ex. O objetivo deste recurso / ex HTTP ainda não está claro no momento da escrita e parece não ser referenciado em outro lugar do código. diz a ESET.

O malware automaticamente procura e coleta informações que são enviadas para um servidor C & C, incluindo aqui o endereço IP, nomes de usuário e senhas. Um arquivo de configuração que é armazenado localmente torna possível para o backdoor para atualizar este arquivo com novas tarefas, mas também para atualizar seus próprios arquivos se o invasor desenvolver uma versão mais avançada no futuro.

Como remover uma infecção Rakos

É importante enfatizar que senhas SSH complexas são quase impossíveis de crack por este malware e atacantes estão principalmente procurando dispositivos Linux usando senhas fracas.

Mas se por algum motivo seu dispositivo incorporado foi infectado, você precisa se conectar a ele usando SSH / Telnet e procurar um processo chamado .javaxxx. Certifique-se de que ele está sendo usado para conexões indesejadas e, em seguida, matar o processo.

Reiniciar o computador também mata o processo e o backdoor ainda não está configurado para reiniciar automaticamente, mas na maioria dos casos, o dispositivo será comprometido novamente depois disso.

As credenciais SSH seguras são absolutamente obrigatórias para permanecer protegidas contra Rakos, e ESET diz que o número de ataques envolvendo este backdoor está em ascensão nos dias de hoje.

Fonte: Softpedia