Esta semana hemos conocido que la empresa surcoreana NAYANA, proveedora de servicios web, sufrió un ataque de una variante del ransomware Erebus. El caso llamó la atención dado que infectó a 153 servidores, todos ellos con sistema operativo Linux, en el cual más de 3400 archivos se han visto afectados. En este artículo vamos a llevar a cabo un análisis sobre una muestra del ejecutable encargado de llevar a cabo la infección en esta última campaña de Erebus.
Comentarios
#12 Eso solo si manipulas lo que decimos
Linux puede tener virus igual que Windows, le salvan basicamente dos cosas:
A) Lo normal es que tires de un repositorio que esta bien cuidado y bien certificado, con lo que te quitas de encima todos los programillas de bajos fondos. En windows ya empiezan a tirar por ese modelo, pero aun a dia de hoy lo normal es meterte en la jungla de la web y sacarte el software de donde buenamente puedas.
B) Pocos usuarios y mas expertos, con lo que no les compensa a los creadores de virus por el impacto potencial.
#17 No he manipulado nada, me he limitado a enlazar comentarios, y ya la gente puede entrar y leerlos en su contexto original. Manipular es otra cosa, como extraer una parte que me interesa obviando todo lo demás. Yo no hago eso, yo enlazo los comentarios originales para que la gente los lea.
#22 oK!
#17 La B no creo que sea cierto, desde el momento que muchos servidores usan Linux. Quiero decir, son expertos (o se les supone) pero no son pocos, y el impacto potencial es alto.
#32 Pero los servidores no instalan software de "por ahi". Es un objetivo mucho mas complejo.
#33 No lo niego. Lo que digo es que son un objetivo goloso... mejor protegido, pero deseable
#34 Es digamos, otro mercado para los hackers, con otras caracteristicas. Aqui estabamos hablando en principio de cosas de usuario.
#33 Ni servidores ni desktops, ni linux ni mac ni windows tienen gusanos por instalar software de por ahi; en estos y otros casos hablamos de exploits como vector de entrada, no de hacer doble click en chochetejugoso.exe
#50 Le estoy dando click al fichero que has adjuntado pero no me abre
Hace mucho que no veía ensamblador y el artículo está muy detallado.
Ahora lo que le falta al artículo, yo creo que la parte más importante, y que se les ha quedado fuera. ¿Como llega el ramsomware a los equipos?
De los comentarios:
AJC says:
¿Cual sería el vector de infeccion?
Joan says:
Al parecer no está demasiado claro dadas las importantes vulnerabilidades presentes en su página web.
Ésta se ejecuta sobre una versión del kernel de Linux 2.6.24.2, la cual sería vulnerable, por ejemplo, a Dirty Cow, además de estar presentes las versiones de Apache2 1.3.36 y PHP 5.1.4, las cuales salieron a la luz en 2006.
#4 O sea, que aquello era un colador del carajo. Chao.
#4 Toda la razón, pero al tratarse de especulaciones preferí incluir únicamente la parte más técnica relacionada con la muestra disponible.
#12 ¿tu novia se fue con un Linuxero o algo? Porque en cada noticia sacas el tema
#23 No tengo novia. Será porque uso linux en mis ratos libres
#25 será que no lo usas a tiempo completo.
#3 El truco del enlace que enlace que pones realmente no sirve por varios motivos:
Puedes tener el tener los .desktop habilitado o deshabilitado en distintos filemanagers, tener un filemanager que no los soporte, o como yo directamente no utilizar filemanagers gráficos.
Tienes que descomprimir directamente sin ver el contenido. Si no la trampa es evidente. Yo tampoco lo hago nunca entre otras cosas por si el contenido no viene dentro de un directorio y si lo descomprimes tal cual se te mezclará con el resto de archivos de el directorio donde estés.
Tienes que tener el juego exacto de iconos que se usa en cada .desktop instalado y cada window manager tiene docenas por lo que verías iconos de error, genéricos o sin iconos.
Pero lo más importante, sigues sin poder ejecutar nada que venga en el archivo. Por que .desktop o no un archivo no ejecutable en Linux no se ejecuta lo llames como lo llames.
So muchos "y si" mucha tormenta perfecta para al final ejecutar un archivo que ya estaba de antemano en el sistema y ya podías ejecutar.
Así y todo ya hay bug report en casi todos administradores de archivos "afectados" y seguramente de una forma u otra deshabilitaran esta posibilidad de ejecución que de todas formas no sirve de mucho.
#5 Aún así, en mi opinión, no deja de ser un vector abierto, sobre todo para usuarios nuevos. No sé si los has leído pero hay algunos comentarios bastante interesantes acerca de ello.
#6 Vector para ejecutar archivos que ya son ejecutables y están en el sistema.
Eso es como tener unas ganzúas para abrir la puerta de tu casa.
#7 creo que dicen que al descomprimir un zip o tar que guarde permisos puede haber posibilidades de que te pongan un archivo directamente ejecutable que parezca una imagen pero en realidad está ejecutando un script al abrirlo. y para colmo te pueden mostrar una imagen y no darte ni cuenta.
No dicen que el archivo. desktop tenga que existir de antes aunque pasarte un archivo .desktop existente también sea una opción.
Además, para añadir confusión, la extensión desktop puede ser opcional ya que en Linux se suele inspeccionar el contenido del archivo para saber qué tipo de archivo es.
A mí me parece un fallo de seguridad similar a los que se pueden hacer en Windows con la doble extensión e Invalida parcialmente el argumento de los que dicen que en Linux el usuario siempre tiene que marcar un archivo como ejecutable manualmente
#49 No es igual que el caso de las extensiones en Windows por que para empezar necesitas más acciones concretas por parte del usuario que que omita otros pasos.
El caso de Windows es un paso click y ejecutado. Configuración por defecto
El de Linux es primero no miro el contenido, segundo lo descomprimo, tercero tengo que usar un filemanager X con una configuracion Y, cuarto lo ejecuto.
Si cada uno de los pasos es una opción verdadero/falso, a cada paso la posibilidad de ejecución no deseada se reduce a la mitad.
Con 4 variables en el proceso en lugar de una como en windows las probabilidades son a groso modo la mitad de la mitad de la mitad.
No es lo mismo.
Además está tambien el tema de el conjunto de iconos que tenga el equipo instalado, rutas a los iconos, etc...
Vamos que es un exploit que si te funciona en Gentoo no te funciona en Centos etc...
Como decía más arriba son muchos "y si".
#65 En Reddit, menos Dolphin, el resto dice que lo ejecuta sin decir nada. 1 paso o 2 depende de cómo cuentes.
- Descargar archivo que te llega por email.
- Doble click y se descomprime
- "Uy qué tetas más bonitas. Quiero verlas en grande"
Y estás Infectado mientras ves una foto de una tía en tetas.
Yo lo veo muy similar a los ataques con ejecutables en .zip de la factura de Endesa o virus tipo IloveYou que te llegan por email. Que en algunos casos haya posibilidades de que el sistema te avise. Perfecto. Un poco más de seguridad, pero a un usuario zoquete se la cuelas perfectamente.
Incluso en Reddit han puesto que en algún caso el gesto de ficheros avisa diciendo que el archivo de la supuesta imagen es un archivo de texto y que si de verdad lo quieres ejecutar. Estoy seguro que mucha gente le daría a seguir en vez de discurrir que una imagen no puede ser un archivo de texto y que hay algo raro.
Para mí el problema mayor es que te pueden colar un ejecutable con permiso de escritura al descomprimir algo haciendo doble click, cuando se suponía que en Linux un usuario siempre tenía que marcar como ejecutable manualmente algo descargado de Internet.
#70 Con doble cick no se descomprime.
Y el paso de "Uy qué tetas más bonitas. Quiero verlas en grande" necesita otro click mas que no has puesto.
SIn el paso de descargar el archivo son al menos 3 pasos y muchas variables. En Windows sigue siendo un paso con configuración estandar sin variables.
#78 He hecho la prueba en Ubuntu y con doble click no me ha descomprimido automáticamente como dicen en Reddit, pero si descomprimo el archivo con botón derecho "extraer aquí" Veo un archivo de nombre CV.pdf con un icono convincente. Tanto en tar.gz como con .zip me ha guardado el permiso de ejecución al descomprimir, y como se usa el permiso de ejecución para asumir que el archivo .desktop es de confianza, en vez del nombre del archivo sale el nombre interno que hay en el archivo .desktop. Si le doy doble click para abrirlo pensando que es un PDF me infecto. Con botón derecho sólo me sale la opción "Abrir", así que no puedo siquiera intentar abrirlo con un lector de PDF.
Dirás lo que quieras pero es lo mismo que descargarte un .zip de un email que dice ser la factura de Endesa y el archivo Interno sea un archivo .pdf.exe. Si lo abres porque si no ves la extensión .exe crees que es un pdf te infectas.
#79 No es lo mismo por que en Linux la gente usa más de un administrador de ficheros (o en modo texto como mi caso) , más de una configuración, etc... Por que no existe siquiera el concepto de "administrador de archivos por defecto para Linux"
La única variable no es el click.
En todos los Windows sin excepción desde el 95 hasta el windows 10 tienes un administrador de ficheros que es el explorer.
Eso no ha pasado en ninguna distribución de Linux en la historia.
La desuniformidad de Linux de la que muchos no linuxeros se quejan es una de sus grandes ventajas y potenciales.
Y la uniformidad de Windows que la mayoría de usuarios de Windows alaba es uno de sus mayores talones de Aquiles.
#7 y qué ganzúas!
un wget por allí, un ssh reverso en tu usuario por allá, un poquito de crontab -e por acá...
sin ser cerrajeros, esas tres vienen casi instaladas por defecto.
#5 >Pero lo más importante, sigues sin poder ejecutar nada que venga en el archivo. Por que .desktop o no un archivo no ejecutable en Linux no se ejecuta lo llames como lo llames.
Sí puedes.
#39 No.
Lo que es afirmado sin pruebas puede ser negado sin pruebas.
Christopher Hitchens
#62 Los desktop no dependen de permisos, se pueden ejecutar o bien con X DG-open, o con el escritorio de turno. Y creo que hasta con DBUS.
#67 ¿Se pueden ejecutar con el Midnight Commander?
#69
Pero en un escritorio, sí.
#5 a mi me la hubieran colado en Mate. Limpiamente. Normalmente las ventanas las tengo en modo lista, ahí ha salido un icono raro que no suelo ver. En modo Compacto o modo Icon, el puto .desktop es indistinguible de un fichero jpg.
Ostias! Que gustazo leer un artículo tan bien documentado en castellano.
#1 Hostias, "ostias"= ostra.
#8 #matadme
#9 Shit happens. No somos máquinas.
#1 No me fio mucho del nivel de inglés ....
> The ransomware attack affected the websites, database and multimedia files of around 3,400 businesses employing NAYANA’s service.
> El caso llamó la atención dado que infectó a 153 servidores, todos ellos con sistema operativo Linux, en el cual más de 3.400 archivos se han visto afectados.
3400 negocios pasan a ser 3400 archivos.
"becarios nooo, becarios noooooo"
#41 Pues sí, aunque puede ser un lapsus.
#41 Sufisiente ke me se expresar en espanyol.
Es broma, es un error e intentaré corregirlo lo antes posible. En mi defensa diré que el post únicamente tenía como objetivo tener un nivel técnico decente.
Solución: meter el CD de Microsoft Windows y formatear.
#Nota: es broma, la solución está en tener cuidado empezando por usar formatos más simples cuando haga falta. ¡Cuántas hojas de cálculo no podrían ser sustituidas por ficheros CSV!
#2
Pues a raíz de lo que comentas:
https://www.reddit.com/r/linux/comments/5r6va0/how_to_easily_trick_file_manager_users_to_execute/?ref=share&ref_source=link
#2 apt-get update && apt-get upgrade
#14 Sí, debe ser eso. Lo de creerse superior a los demás en base a un solo comentario, ya tal.
#16 No como tú, que sacas conclusiones estúpidas en base a 4, como demuestras en #11
Pero bueno, no es creerme superior, eres tú el que ha dicho la soplapollez de #10
#18 4 que se repiten en cada noticia sobre el tema. Y lo sabes
Y para soplapolleces, las de estos comentarios que se repiten a cada noticia.
#19 que sí, que sí. ¿Y a mí que me importa? Eres tú el que se cree esa idiotez. ¿Por qué me lo cuentas a mí?
#20 Para no importarte, no paras de responderme. Porque sabes que en el fondo tengo razón
#21 Respondo a tus tontunadas, pues claro. Lo que no entiendo es por qué me debe importar lo que escriba otra gente.
1. Preguntas una cosa (que me parece estúpida). #10
2. Te respondo claramente y sin ningún tipo de apreciación (aunque lo preguntado me parezca estúpido). #11
3. Me respondes tú a mí con lo que dice otra gente. #12 (¿Qué tiene que ver conmigo?)
4. Te digo que tendrán el mismo nivel que tú, basándome, claro, en lo preguntado en #10
El resto es una retahíla de huidas hacia adelante que me importan bien poco. La realidad es que sí hay virus y amenazas de seguridad para GNU/Linux. Por lo menos veo que has aprendido algo.
#51 Puede que haya aprendido algo, pero no es eso que dices tú, porque en mi curro he tenido que desinfectar sistemas Linux de bichos.
Lo que he aprendido es que hay mucho fundamentalista linuxero que acepta las bromas solamente de un lado hacia el otro. Cuando haces bromas sobre Linux, los fundamentalistas saltan sobre ti como hienas. No es tu caso, claro, porque apenas me has insultado y despreciado en este hilo.
#54 Ah vale, vamos que cuando en #10 preguntabas lo que preguntabas, no era por ignorancia, era por. parafraseándote, saltar sobre los fundamentalistas linuxeros como hienas.
De verdad, si tanto te molesta que te llamen ignorante, no hagas preguntas ignorantes. Sobre todo si conoces la respuesta, que ya es de coña. Y ser ignorante no es malo, todos somos ignorantes en muchas cosas. Por cierto, soy todo lo contrario a un fundamentalista linuxero
Por último, qué pena que me hayas hecho perder el tiempo
#55 Bueno, algo me dice que el hecho de que respondieras a una pregunta retórica era un indicador de que estabas deseando perder el tiempo
Joan says:
29 de Junio de 2017 at 4:51 pm
Al parecer no está demasiado claro dadas las importantes vulnerabilidades presentes en su página web.
Ésta se ejecuta sobre una versión del kernel de Linux 2.6.24.2, la cual sería vulnerable, por ejemplo, a Dirty Cow, además de estar presentes las versiones de Apache2 1.3.36 y PHP 5.1.4, las cuales salieron a la luz en 2006.
Un saludo
no hay mas preguntas señoría
¿Pero no habíamos que dado en que los sistemas linux no tenían bichos?
#10 No.
#11 Pues debo estar ciego, porque en la noticia de ayer hay unos cuantos:
Así puedes vacunar tu sistema contra NotPetya, el nuevo ransomware que tiene al mundo de cabeza/c24#c-24
Así puedes vacunar tu sistema contra NotPetya, el nuevo ransomware que tiene al mundo de cabeza/c29#c-29
Así puedes vacunar tu sistema contra NotPetya, el nuevo ransomware que tiene al mundo de cabeza/c39#c-39
Así puedes vacunar tu sistema contra NotPetya, el nuevo ransomware que tiene al mundo de cabeza/c73#c-73
Y en general, en cualquier noticia sobre el tema, la solución generalizada más aplaudida para no recibir virus es instalar linux.
#12 Quizá tengan un nivel informático cercano al tuyo, yo que sé.
#12 Linux triunfara en tanto en cuanto se lleve bien con el capitalismo, en cuanto se lleva bien con el sistema, el mercado, sirva para vender ordenadores como Windows o mejor si mas y demas ... ahi esta el Android ese que hace ganar tantisima pasta a Google ... si Linux no vende, no hace grandes a multinacionales y no crea fortunas exageradas no llegara a nada, y siendo asi el mismo Gates se pasara a Linxu y vendera Linux que ocurrira lo veremos
#27 Y yo lo aplaudiré, si eso llega a pasar algún día. Pero yo no estoy tan convencido como tú.
#28 es que ocurre, como lo del Android, haciendo grandes a las multinacionales, creando grandes fortunas, y entonces zas división, unos diran que eso no es open source siquiera, otros que si otros dicen que eso ni esta basado en Linux otros que si ... y asi ... el mundo no cambia por estas cosillas, no son revoluciones de verdad
#27 claro, es por eso que a día de hoy Linux no se usa para nada.
y segundo, ¿Hoy Android es Linux?
#44 cierto, no como Linux que las hace negras, mucho mas elegantes.
#58 Creo que a eso os han contestado ya mil veces, pero os cuesta entenderlo. Android en un sistema con kernel linux, pero no es GNU/linux. Si aceptamos linux como GNU/Linux, no, Android no es linux, si usamos linux como kernel, si, Android es un sistema con base linux, pero no es GNU/Linux.
https://www.gnu.org/gnu/linux-and-gnu.es.html
#72 no me cuesta nada entenderlo. Era la n-esima burla sobre si Android es Linux o no. En Meneame cuando sale una noticia sobre vulnerabilidad en Windows aparecen muchos comentarios del palo "no me afecta, uso linux" o "guía para solucionarlo: borrar Windows e instalar Linux" y cosas parecidas. Con Android pasa lo mismo. Si sale una noticia "Android tiene el 60% de cuota" un montón de gente se la empieza a pelar diciendo que Linux está en todas partes pero cuando la noticia es sobre una vulnerabilidad entonces Android no tiene nada que ver con Linux ni con el software libre.
Es por esto por lo que he escrito ese comentario. Depende del día Android es Linux o no.
#80 La mitad de los que te dicen "a mi no me afecta uso linux" suelen tener wine y por lo tanto pueden verse afectados pormuchas tonterías de windows.
#12 no existe el sistema seguro, eso lo sabe hasta un niño.
Windows ha tenido muchos problemas de seguridad por su diseño. Con WIndows 10 ha madurado el sistema y
yo ahora lo considero al nivel de otros sistemas operativos.
Otra cosa es que un equipo Linux, en el que todo se instala desde 'la tienda de aplicaciones' , no te descargas e instalas programas, el usuario jamas es root (en windows el usuario solía tener permisos de administrador), y siempre tienes actualizaciones, es mucho más complicado recibir una infección, pero más que porque sea más seguro en si,es porque se siguen los principios de seguridad por diseño.
Windows 10 a adoptado muchas de estas soluciones (si no todas) y para mi, ha sido el punto de inflexión, entre tenerle manía a Windows, y considerarlo un sistema operativo más (a pesar de que prefiero Linux por muchos motivos)
Pero un equipo windows 10 y un usuario concienciado con la seguridad ya no me parece la locura que era un XP con un usuario instalandolo todo desde softonic ...
#0
Linux no es un sistema operativo.
#24 por qué, por qué?
Venga ladrón, dilo que lo estás deseando
#53 Linux es solo el kernel del sistema operativo GNU/Linux
Es como los que llaman CPU al ordenador completo, cuando la CPU es solo el microprocesador.
#66 ahá....
Ese xor ax,ax demuestra que algo de programar si saben.
#15 ya te digo. Lo menos han hecho primer curso de informática.
#26 sorry, dedo flojo
#26 En el pasado. Ahora en la universidad te ensenyan Java.
Esos tiempos en que picabamos assembler del bueno.
#59 hablas como si en 5 años de carrera solo se programara en Java.
#61 Nop. Pero en mis tiempos en primer semestre ya tirabamos al assembler.
#15 me pregunto, pero, si sera en su forma 33 C0 o en la menos comun 31 C0. Pregunta trascendental, pa empezar el dia.
#15 Sí, el compilador probablemente sepa programar.
#60 Muchos compiladores de curan en salud y generan mov ax,0 y no xor ax,ax
A parte, asumo que esta gente se lo debe programar a mano en assembler
Menudo cabrón Erebus, en menuda metió a Horus...
El ramsonware es la jodida moda... No paran eh.
Fantástico por qué este va a ser el año de Linux en escritorio
Tanto decir en los ataques de windows "yo uso linux a mi no me afecta" tenia que explotar por algun lado.
#46 lo que se sabe es que usa un kernel que fue parcheado hace 9 años en 24 horas. https://linuxzone.es/2008/02/11/kernel-26242-%C2%A1por-esto-queremos-tanto-a-linux/
Pues windows no da mas que pantallas azules
Máquina virtual y todo en la nube u modo invitado ",luego si eso lo del año de Linux en lo de debajo del escritorio, la papelera