bannerrootday

Backdoor Linux permite a hackers controle total sobre dispositivos vulneráveis



A empresa de segurança ESET descobriu uma nova forma de malware que está especificamente direcionada a dispositivos Linux incorporados com o objetivo de infectá-los e fornecer controle total aos hackers, deixando a porta aberta para uma série de outras tarefas perigosas, incluindo o lançamento de ataques DDoS.

Chamado Rakos, o novo malware lança ataques em dispositivos embutidos e servidores com uma porta SSH aberta e usa tentativas de força bruta para quebrar a senha.

A ESET afirma que os criadores do Rakos querem infectar o maior número possível de sistemas para criar uma botnet que poderia ser usada para outros ataques maliciosos, como ataques DDoS e propagação de spam.

No começo, os invasores fazem a varredura de sistemas vulneráveis ​​analisando intervalos de IP pré-definidos, mas dado o fato de que ataques de força bruta estão sendo usados ​​para interromper, apenas máquinas com senhas muito fracas são comprometidas.

Uma vez que o acesso é obtido e o malware atinge o dispositivo Linux, Rakos inicia um serviço HTTP local disponível na http://127.0.0.1:61314 com duas finalidades diferentes.

O primeiro é como um método astuto para as futuras versões do bot para matar as instâncias em execução, independentemente do seu nome, solicitando http://127.0.0.1:61314/et; Em segundo lugar, ele tenta analisar uma consulta de URL para os parâmetros 'ip', 'u', 'p' ao solicitar http://127.0.0.1:61314/ex. O objetivo deste recurso / ex HTTP ainda não está claro no momento da escrita e parece não ser referenciado em outro lugar do código. diz a ESET.

O malware automaticamente procura e coleta informações que são enviadas para um servidor C & C, incluindo aqui o endereço IP, nomes de usuário e senhas. Um arquivo de configuração que é armazenado localmente torna possível para o backdoor para atualizar este arquivo com novas tarefas, mas também para atualizar seus próprios arquivos se o invasor desenvolver uma versão mais avançada no futuro.

Como remover uma infecção Rakos

É importante enfatizar que senhas SSH complexas são quase impossíveis de crack por este malware e atacantes estão principalmente procurando dispositivos Linux usando senhas fracas.

Mas se por algum motivo seu dispositivo incorporado foi infectado, você precisa se conectar a ele usando SSH / Telnet e procurar um processo chamado .javaxxx. Certifique-se de que ele está sendo usado para conexões indesejadas e, em seguida, matar o processo.

Reiniciar o computador também mata o processo e o backdoor ainda não está configurado para reiniciar automaticamente, mas na maioria dos casos, o dispositivo será comprometido novamente depois disso.

As credenciais SSH seguras são absolutamente obrigatórias para permanecer protegidas contra Rakos, e ESET diz que o número de ataques envolvendo este backdoor está em ascensão nos dias de hoje.

Fonte: Softpedia

Comentários

Postagens mais visitadas deste blog

Aprenda mais sobre segurança da Informação no evento Worksec

CANAL NO TELEGRAM

SanDisk lança cartão microSD de 400 GB para celulares na MWC 2018