0
0
O botnet Stantinko, de oito anos, atualiza seu malware Linux.
por Claylson Martins
Stantinko, um dos botnets de malware mais antigos ainda em operação hoje, lançou atualizações para Linux, atualizando seu cavalo de Troia. Ele se passa por um processo de servidor web Apache legítimo (httpd) a fim de tornar a detecção mais difícil em hosts infectados.
As atualizações, detectadas pela empresa de segurança Intezer Labs vêm confirmar que, apesar de um período de inatividade em relação às alterações de código, o botnet Stantinko continua operando até hoje.
Senta que lá vem a história
O botnet Stantinko foi detectado pela primeira vez em 2012. O grupo por trás desse malware começou a operar distribuindo o trojan Stantinko como parte de pacotes de aplicativos ou por meio de aplicativos pirateados.
Apenas os usuários do Windows foram visados no início, com o malware usando hosts infectados para mostrar anúncios indesejados ou para instalar um minerador de criptomoeda oculto.
À medida que o botnet cresceu e começou a gerar mais lucros, seu código evoluiu. Uma atualização considerável foi descoberta em 2017 [ver relatório em PDF] quando a empresa de segurança eslovaca ESET identificou Stantinko também implantando versões especiais de seu malware para sistemas Linux.
Esta versão do Linux atuou como um proxy SOCKS5, com o Stantinko transformando sistemas Linux infectados em nós em uma rede proxy maior.
Cada um desses sistemas Linux serve para lançar ataques de força bruta contra sistemas de gerenciamento de conteúdo (CMSs) e vários sistemas com base na web. É o caso de bancos de dados. Uma vez que comprometesse esses sistemas, o Stantinko elevaria seu acesso ao sistema operacional do servidor subjacente (Linux ou Windows). Em seguida, implantaria uma cópia de si mesmo e um criptominerador para gerar ainda mais lucros para os autores do malware.
NOVA VERSÃO STANTINKO LINUX
Entretanto, botnets de criptografia como Stantinko custam dez centavos e não costumam ser rastreados com o mesmo vigor que gangues de ransomware ou botnets como Emotet ou Trickbot.
A última versão do malware de Stantinko para Linux foi detectada em 2017, com um número de versão 1.2. Porém, em um relatório divulgado agora, o Intezer Labs disse que depois de três anos, eles descobriram uma nova versão do malware Stantinko para Linux, com um número de versão 2,17. Segundo eles, houve uma grande evolução em relação ao lançamento conhecido anterior.
No entanto, apesar da enorme lacuna entre os dois lançamentos, a equipe do Intezer observa que a nova versão é realmente mais enxuta e contém menos recursos do que a anterior. Isso é considerado estranho, já que o malware tende a aumentar com o passar dos anos.
Uma razão por trás desse movimento estranho é que a gangue Stantinko pode ter removido todo o lixo de seu código e deixado apenas os recursos de que precisam e usam diariamente. Isso inclui o recurso de proxy, ainda presente na versão mais recente e crucial para suas operações de força bruta.
Outra razão também pode ser que a gangue Stantinko estava tentando reduzir a impressão digital do malware contra soluções antivírus. Menos linhas de código significam menos comportamento malicioso de detectar.
E a Intezer observa que Stantinko quase conseguiu, pois a versão mais recente tinha uma taxa de detecção muito baixa no verificador VirusTotal, quase passando despercebido.
Malware Stantinko para Linux se apresenta como um servidor web Apache
Além disso, a gangue Stantinko parece ter colocado uma cartilha sobre furtividade nesta versão mais recente, porque eles também modificaram o nome do processo que seu malware Linux usa, optando por httpd, o nome geralmente usado pelo servidor web Apache mais famoso.
Obviamente, isso foi feito para evitar que os proprietários do servidor detectassem o malware em uma inspeção visual regular, já que o servidor da Web Apache é frequentemente incluído por padrão em muitas distros Linux. Então, esse processo geralmente tem execução em sistemas Linux que o Stantinko infecta.
De qualquer forma, os administradores de sistema Linux precisam perceber que, à medida que o sistema operacional Linux se torna mais difundido em ambientes corporativos, mais e mais operações de malware começarão a ter como alvo o Linux. Então, muitas gangues também trarão todos os seus conhecimentos e truques de anos de desenvolvimento de malware para Windows.
Linux é mais seguro, porém…
Não há dúvidas quanto à segurança maior dos servidores Linux. No entanto, proprietários de servidores Linux precisam saber que o malware se infiltra no interior dos sistemas. Isso ocorre por causa de configurações incorretas. No caso de Stantinko, esse botnet vai atrás de administradores de servidor que usam senhas fracas para seus bancos de dados e CMSs.
Na verdade, é assim que todo malware opera, independentemente do sistema operacional.
O malware raramente explora vulnerabilidades no nível do sistema operacional para se firmar em um sistema. Na maioria dos casos, as gangues de malware se concentram em:
- configurações incorretas de aplicativos que deixaram portas abertas ou painéis de administração expostos on-line;
- aplicativos desatualizados deixados sem patches de segurança;
- sistemas/aplicativos que usam senhas fracas para serviços voltados para a Internet;
- enganar os usuários para que realizem ações perigosas (engenharia social);
- ou explorar bugs nos aplicativos executados no sistema operacional.
Exploits no próprio sistema operacional Linux raramente aparecem em uso.
Essas explorações geralmente elevam os privilégios de contas básicas para contas de administrador, para que o malware possa assumir o controle total do sistema atacado. É por isso que, mesmo se o Linux (ou outro sistema operacional) não for direcionado diretamente, ele ainda precisa executar versões atualizadas para evitar essas elevações de usuário para root. Afinal, é assim que invasores ganham uma posição de destaque nos hosts infectados.
Manter os sistemas protegidos contra ataques é fácil, já que a maioria dos administradores de sistema precisa manter os aplicativos atualizados e usar senhas fortes. No entanto, isso sempre é um trabalho árduo. Isso porque as empresas executam centenas ou milhares de sistemas ao mesmo tempo. Portanto, os invasores só precisam encontrar um ponto fraco para entrar.
FONTE: SEMPREUPDATE