Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Remote Shell, un troyano de acceso remoto para Linux
 
VSantivirus No. 428 - Año 5 - Domingo 9 de setiembre de 2001

Remote Shell, un troyano de acceso remoto para Linux
Por Redacción VSAntivirus

Un caballo de Troya de acceso remoto, esta vez capaz de atacar sistemas bajo Linux, y con características como las del conocido BackOrifice de Windows, ha estado propagándose estos días en la red.

El troyano, denominado Remote Shell, se presupone tiene su origen en el Reino Unido y ha sido reportado por Qualys, Inc., una compañía de seguridad con sede en California, Estados Unidos.

Qualys afirma que la proliferación de servidores Linux en Internet, podrían hacer que este virus llegara a propagarse más que el CodeRed, pero solamente si los archivos infectados fueran ejecutados por usuarios poco cautelosos.

Sin embargo, para otros investigadores, la posibilidad de que ello ocurra, es mucho menor que la que tuvo el CodeRed.

Según Eric Chien, de Symantec, es poco probable que llegue a extenderse tanto, principalmente porque Remote Shell carece de algunas de las características de auto replicación que hicieron posible la gran propagación del CodeRed en Windows y del gusano Lion en Linux, hace ya un tiempo.

Chien por lo tanto pone en dudas las afirmaciones de Qualys, afirmando que no cree que nadie en el negocio de la seguridad podría considerar a este gusano, como una amenaza para los usuarios de computadoras. Pero sin embargo recuerda que Linux es susceptible a estas amenazas, tanto como otros sistemas operativos.

El hecho de que solo se conozcan un puñado de virus que infectan Linux, contra los miles que afectan las plataformas Windows, no significa que Linux sea invulnerable, sino que simplemente esta plataforma ha sido menos explotada por los creadores de virus, tal vez por la sencilla razón que la cantidad de usuarios, aunque ha aumentado mucho en los últimos años, sigue siendo menor a la que utilizan los productos de Microsoft.

"Aunque ningún sistema es absolutamente seguro, nosotros creemos que las tecnologías de código abierto, proporcionan la transparencia necesaria para protegernos mejor contra las vulnerabilidades de la seguridad, especialmente aquellas relacionadas con la descarga de software desde Internet", explica Michael Tiemann, jefe principal de tecnología de Red Hat Linux.

Según Qualys, Remote Shell puede ser distribuido a través de mensajes de correo electrónico con adjuntos infectados, y luego replicarse a si mismo en los sistemas basados en Linux. También podría ser descargado de sitios poco o nada seguros.

El troyano consiste de dos componentes primarios. Uno de ellos con la misma capacidad de un virus para replicarse e infectar archivos, y el otro capaz de instalar un proceso que habilita una puerta trasera a cualquier atacante remoto.

Hasta ahora, no se ha detectado ninguna evidencia de actividades del virus en memoria como residente (cómo lo hace CodeRed por ejemplo).

Como vimos, es capaz de infectar ejecutables de Linux en formato ELF (Executable and Linking Format), en principio en el directorio /bin.

Los ejecutables, lógicamente, permanecen funcionales después de la infección.

El programa posee algunas de las características más conocidas de los gusanos, como la posibilidad de auto-replicarse a través del correo electrónico.

El troyano instala una puerta trasera (backdoor), en el host infectado, y permanece a la escucha de conexiones UDP por el puerto 5503 o superiores.

Un atacante podría conectarse a este puerto vía TCP y potencialmente tomar el control de la máquina, pues tendría permiso al shell al mismo nivel que el usuario que ejecutó el archivo infectado, o sea al virus.

Remote Shell Trojan, por otra parte, no aparenta aplicar ningún mecanismo sofisticado de ocultamiento. Por ejemplo, los datos de tamaños de los archivos y fechas de modificación de los mismos son cambiados durante la infección, y por lo tanto, fácilmente detectados.

Cualquier herramienta basada en el control de los valores de sumas de comprobación (cheksum), ejecutadas por administradores cuidadosos de sus servidores, detectarían la infección.

Es aconsejable aplicar periódicamente estos chequeos a directorios usados comúnmente para almacenamiento de ejecutables, tales como /bin, /etc/bin, /usr/bin y otros.

Un sistema infectado crea un archivo semáforo cómo éste: (un "lockfile"):

 /tmp/982235016-gtkrc-429249277

La presencia de dicho archivo es una indicación que la máquina está o estuvo infectada por el troyano.

Una vez que ha infectado un sistema, Remote Shell se conecta a un sitio en el Reino unido, donde se pueden ir acumulando listas de otros sistemas infectados. Qualys ha informado esto al servicio nacional de inteligencia criminal del Reino Unido, y al FBI, suponiéndose que se está investigando su origen.

Como vimos, Remote Shell Trojan es especialmente peligroso si un usuario con privilegios está ejecutando la aplicación infectada. En ese caso, un atacante conectado a la puerta trasera habilitada por el troyano, podría heredar las credenciales y los privilegios de dicho usuario, y tomar el control total de la máquina infectada.

Un sitio infectado con el Remote Shell, podía sufrir alguna de estas consecuencias:

  • Secuestrado por el atacante

  • Empleado como plataforma de ataque secundario para otras intrusiones, dentro o fuera de cualquier organización

  • Obtención de información a ser usada en subsecuentes ataques

  • Explorar el sistema en busca de información sensible o comprometedora

  • Provocar actos de vandalismo y destrucción a los efectos de causar un daño financiero y operacional a una organización

Existen un par de herramientas capaces de descubrir el troyano y de limpiar el sistema.

La primera se llama "rst_detector" y acepta desde la línea de comandos, una dirección IP como parámetro, chequeando una computadora remota específica (a la que se refiera esa dirección), para determinar si la misma posee el troyano instalado o no.

La segunda herramienta, "rst_cleaner", es la encargada de limpiar los archivos Linux infectados, en caso de existir estos.

Ambas pueden ser descargadas libremente de esta dirección:

https://www.qualys.com/form_remoteshell.html

"Aplaudimos a Qualys por proporcionar esta herramienta como software de código abierto, brindando a los usuarios una solución confiable a esta nueva amenaza a la seguridad", explica Michael Tiemann, de Red Hat.

Más información:

Qualys First To Detect And Protect Against New Linux Backdoor Trojan
http://www.qualys.com/PR/release_09_05_01.html

VSantivirus No. 259 - Año 5 - Sábado 24 de marzo de 2001
Linux/Lion.worm. Peligrosa amenaza para servidores Linux

VSantivirus No. 377 - Año 5 - Viernes 20 de julio de 2001
CodeRed. Un gusano en la memoria de los servidores


(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS