malware en linux - barcamp se - cali, colombia 2013
DESCRIPTION
El malware también existe en plataformas basadas en UNIX, como Linux. Diferentes técnicas de infección, detección y eliminación de software melicioso.TRANSCRIPT
![Page 1: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/1.jpg)
1
Usa Linux decían ...... En Linux no hay virus decían
Alejandro HernándezCISSP, GPEN
@nitr0usmx
http://www.brainoverflow.orghttp://chatsubo-labs.blogspot.mx
MALWARE EN LINUX
![Page 2: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/2.jpg)
Contenido
2
¿Por qué usar Linux (u otros basados en UNIX)? Tipos de Malware Similitudes y Diferencias con sistemas Windows Motivadores para la creación de malware Técnicas de Infección / Propagación Demo(s)
Técnicas Anti Detección / Reversing / Debugging Demo(s)
Técnicas de Detección / Eliminación Demo(s)
Conclusión
![Page 3: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/3.jpg)
¿Por qué usar Linux (*NIX)?
3
Porque es “GRATIS”
PORQUE NO HAY VIRUS … DECÍAN
Porque es para expertos y hackers
Porque si…
![Page 4: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/4.jpg)
¿Por qué usar Linux (*NIX)?
4
http://www.dedoimedo.com/computers/linux-convert.html
![Page 5: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/5.jpg)
¿Por qué usar Linux (*NIX)?
5
![Page 6: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/6.jpg)
¿Por qué usar Linux (*NIX)?
6
http://www.dedoimedo.com/computers/linux-convert.html
![Page 7: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/7.jpg)
Tipos de Malware en Linux
7
Backdoors Plataformas de SPAM (Correo no deseado) Servidores de archivos (FTP, Torrents, etc.) Botnets Virus Bombas de tiempo Sniffers de información bancaria Etc.
![Page 8: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/8.jpg)
8
Rootkits Set de herramientas para esconder rastros de ataque y
mantener accesos futuros Esconder archivos Esconder procesos Esconder conexiones de red Usuarios escondidos Y muchas otras capacidades
Tipos de Malware en Linux
![Page 9: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/9.jpg)
Motivadores para la creación de malware
9
Mayormente financiera
Espionaje
Recientemente cuestiones geopolíticas entran en juego
(Stalking)
![Page 10: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/10.jpg)
10
Similitudes y Diferencias con sistemas Windows
![Page 11: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/11.jpg)
11
Market share
Similitudes y Diferencias con sistemas Windows
![Page 12: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/12.jpg)
12
Formato de archivo ejecutable Windows: PE (Portable Executable) Linux: ELF (Executable and Linking Format)
Muchos usuarios de Windows utilizan la cuenta de Administrador
Permisos de archivos en Linux por default
Menor factor de exposición
Similitudes y Diferencias con sistemas Windows
![Page 13: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/13.jpg)
Técnicas de Infección / Propagación
13
Existen virus / gusanos en diversos lenguajes de programación como:
Perl Bash scripts Python Etc.
Los más comunes y sofisticados son en el formato de archivos ELF
![Page 14: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/14.jpg)
Técnicas de Infección / Propagación
14
Executable and Linking Format Formato de archivo mayormente utilizado en sistemas
tipo UNIX como Linux, BSD, Solaris, Irix, etc.
![Page 15: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/15.jpg)
15
Muchísimas técnicas de infección de binarios ELF Mayormente infección en los binarios estáticamente
Ejemplo, inyección de un parásito en el segmento de datos
.text
.data
.bss
Código malicioso:
\x6a\x0b\x58\x99\x52\x66\x68\x2d\x46\x89\xe1\x52\x66\x68\x65\x73\x68\x74\x61\x62\x6c\x68\x6e\x2f\x69\x70\x68\x2f\x73\x62\x69\x89\xe3\x52\x51\x53\x89\xe1\xcd\x80
Técnicas de Infección / Propagación
![Page 16: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/16.jpg)
16
.text
.data
.bss
nitr0us@linux:~$ ./binario_infectado
Código malicioso:
\x6a\x0b\x58\x99\x52\x66\x68\x2d\x46\x89\xe1\x52\x66\x68\x65\x73\x68\x74\x61\x62\x6c\x68\x6e\x2f\x69\x70\x68\x2f\x73\x62\x69\x89\xe3\x52\x51\x53\x89\xe1\xcd\x80
Técnicas de Infección / Propagación
![Page 17: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/17.jpg)
17
nitr0us@linux:~$ ./binario_infectado
Técnicas de Infección / Propagación
![Page 18: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/18.jpg)
18
DEMO
INFECCIÓN ESTÁTICAINYECCIÓN DE UN PARÁSITO EN EL SEGMENTO DE
DATOS
ELF_data_infector.chttp://www.brainoverflow.org/code/ELF_data_infector.c
Técnicas de Infección / Propagación
![Page 19: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/19.jpg)
19
En tiempo de ejecución Uno de los últimos troyanos identificado para Linux con
capacidades de captura de información bancaria de los formularios de exploradores. “Hand of Thief” Trojan https://blog.avast.com/2013/08/27/linux-trojan-hand-of-thief-unglo
ved/ https
://blogs.rsa.com/thieves-reaching-for-linux-hand-of-thief-trojan-targets-linux-inth3wild
/ http://
ostatic.com/blog/hand-of-a-thief-linux-malware-goes-for-the-money
Técnicas de Infección / Propagación
![Page 20: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/20.jpg)
20
“Hand of Thief” Trojan
Técnicas de Infección / Propagación
![Page 21: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/21.jpg)
21
“Hand of Thief” Trojan Es importarte mencionar que un usuario no se infecta
“automáticamente” al descargar este troyano (al igual que la mayoría de malware en Linux)
El autor recomienda…
“Hand of Thief’s developer did not offer a recommended infection method, other than sending the trojan via email and using some social engineering to have the user launch the malware on their machine.”
www.infosecurity-magazine.com/view/34349/hand-of-thief-trojan-has-no-claws/
Técnicas de Infección / Propagación
![Page 22: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/22.jpg)
22
Otro de los últimos detectado es
http://www.symantec.com/security_response/writeup.jsp?docid=2013-111815-1359-99
Técnicas de Infección / Propagación
![Page 23: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/23.jpg)
23
A diferencia de Windows, el malware en Linux no se ejecuta y propaga tan fácilmente
Mayormente se requiere de la interacción del usuario Ingeniería Social Otros vectores de ataque
Cronjobs Modificación de archivos de configuración
.bashrc Etc.
Técnicas de Infección / Propagación
![Page 24: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/24.jpg)
24
Propagación a través de vulnerabilidades remotas Exploits embedidos
Malas configuraciones FTP / NFS / SMB con permisos de escritura para todos
Contraseñas por default en servicios de red
Técnicas de Infección / Propagación
![Page 25: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/25.jpg)
25
Error de capa 8 (PEBKAC)
Técnicas de Infección / Propagación
![Page 26: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/26.jpg)
Técnicas de Anti Detección/ Reversing / Debugging
26
Muchas técnicas conocidas Detección del entorno
Dejar de funcionar si está corriendo bajo una Máquina Virtual
Detección de ejecución a través de debuggers: http://xorl.wordpress.com/2009/01/01/quick-anti-debugging-trick-for-gdb/
ptrace(PTRACE_TRACEME, 0, 0, 0)
![Page 27: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/27.jpg)
27
Hasta más avanzadas como las presentadas por aczid
Linux debugging & anti-debugging Hack In The Random 2600 Netherlands September 8, 2012 http://www.hackintherandom2600nldatabox.nl/archive/slides/2012/aczid.pdf http://
www.hackintherandom2600nldatabox.nl/archive/slides/2012/antidebugging.tgz
Técnicas de Anti Detección/ Reversing / Debugging
![Page 28: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/28.jpg)
28
DEMOS
APROVECHÁNDOSE DE FALLOS EN DEBUGGERS PARA “MATARLOS”
http://blog.ioactive.com/2012/12/striking-back-gdb-and-ida-debuggers.html
gdb_elf_shield.chttp://www.exploit-db.com/exploits/23523/
Técnicas de Anti Detección/ Reversing / Debugging
![Page 29: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/29.jpg)
29
Técnicas de Anti Detección/ Reversing / Debugging
![Page 30: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/30.jpg)
Técnicas de Detección / Eliminación
30
Presencia de elementos extraños y/o no identificados
Procesos | Archivos | Conexiones | Puertos nitr0us@linux:~$ netstat -ant | grep LISTEN
Cuentas de usuarios no identificados ‘h4ck3r::0:0::/:/bin/sh’ (/etc/passwd)
Elementos ocultos Carpetas como “. “ o “.. “ o que inician con “.” no salen
con un listado normal $ls –l
![Page 31: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/31.jpg)
31
Ejecución periódica de herramientas de detección chkrootkit rkhunter otras
Técnicas de Detección / Eliminación
![Page 32: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/32.jpg)
32
DEMO
DETECCIÓN DE ROOTKITS
rkhunterhttp://rkhunter.sourceforge.net
Técnicas de Detección / Eliminación
![Page 33: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/33.jpg)
33
Ejecución periódica de integridad de archivos Hashes
MD5 SHA-1 Etc.
Herramientas como Tripwire ($) AIDE (Advanced Intrusion Detection Environment)
Técnicas de Detección / Eliminación
![Page 34: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/34.jpg)
34
Antivirus Detectan la existencia de código
malicioso Heurística Sandboxes Sensores de Red Reverse Engineering Etc.
Técnicas de Detección / Eliminación
![Page 35: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/35.jpg)
35
Y se ve así…
Técnicas de Detección / Eliminación
![Page 36: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/36.jpg)
36
Antivirus Mayormente detección basada en firmas de virus, por ejemplo,
una pequeña lista de malware conocido http://en.wikipedia.org/wiki/Linux_malware
Técnicas de Detección / Eliminación
![Page 37: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/37.jpg)
37
Los engines analizadores no son suficientemente buenos aún
Research de Tavis Ormandy vs Sophos Antivirus [SOPHAIL] http://lock.cmpxchg8b.com/sophail.pdf
Técnicas de Detección / Eliminación
![Page 38: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/38.jpg)
38
Los engines analizadores no son suficientemente buenos aún
En Febrero de 2013 analicé el engine de ELFs de ClamAV En libclamav se encuentra elf.c, que es el engine analizador Todas las variables son de tipo unsigned Esto es bueno, sin embargo…
Técnicas de Detección / Eliminación
![Page 39: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/39.jpg)
39
Existen validaciones muy básicas (bypasseables) como:
if(file_hdr.e_phentsize == sizeof(struct elf_program_hdr64))
if(file_hdr.e_ident[5] == 1) /* endianess */
if(phnum > 128)
...
for(i = 0; i < phnum; i++) {
if(shnum > 2048)
Técnicas de Detección / Eliminación
![Page 40: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/40.jpg)
40
DEMO
EJECUCIÓN DE ANTIVIRUS
ClamAVhttp://www.clamav.net
Técnicas de Detección / Eliminación
![Page 41: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/41.jpg)
Conclusión
41
En Linux, SI hay virus y demás malware Sus mecanismos de seguridad por default no lo
hacen tan vulnerable contra el malware El porcentaje de usuarios es mucho menor que
Windows, así que el nivel de exposición también es menor
Existen tendencias de atacar estaciones Linux de usuarios finales para obtención de información financiera y datos personales
El software anti-malware para Linux necesita mejorar
![Page 42: Malware en Linux - Barcamp SE - Cali, Colombia 2013](https://reader034.vdocuments.site/reader034/viewer/2022052601/558e94021a28ab40108b468e/html5/thumbnails/42.jpg)
42
GRACIAS
42
Alejandro HernándezCISSP, GPEN
@nitr0usmx
http://www.brainoverflow.orghttp://chatsubo-labs.blogspot.mx