Hand of Thief: El troyano que no sabia robar


Llevo ya bastantes años en el mundo de Gnu / Linux, y he de decir, que hay noticias que me sorprenden bastante. Esta es una de ellas, se trata de un troyano diseñado específicamente para Gnu / Linux, que supuestamente afectaba a unas 15 distribuciones de linux (entre las que destacan, Ubuntu, Fedora, Debian, Archlinux, Sabayon, Gentoo, OpenSuse, Linux Mint, Mageia y Manjaro) capturando sesiones HTTP o HTTPS bajo backdoors (puertas traseras) y que además tenia la capacidad de detectar maquinas virtuales (para evitar se investigado).

El método de infección de dicho troyano era mediante la ingeniería social, básicamente esto significa que alguien te pasa el ejecutable y tu amablemente te lo instalas en tu ordenador (en una distribución de linux, esto es poco probable, especialmente porque prácticamente todas las instalaciones de hacen a través de una herramienta de instalación de software, como puede ser apt-get, aptitude, yum, pacman o incluso el centro de software de ubuntu, que descarga el software de fuentes confiables).

Dicho troyano fue descubierto por una empresa llamada RSA, que se dedica a la criptografia y el software de seguridad, y detecto que se ofrecía el troyano en el mercado negro por $ 2.000 (eso si que es una brutalidad).

Casi un mes después un experto de RSA ha realizado una serie de test que muestran su “eficiencia” (os dejo una traducción hecha por mi de la fuente original):

Test 1

En el primer test instalamos en la maquina Fedora 19 con su navegador por defecto firefox, y la ultima versión estable del navegador Google Chrome. La maquina fue infectada por Hand of Thief (de aquí en adelante HoT) y se uso para navegar por distintos sitios de cuentas de correo (bajo el protocolo HTTPS).

Cuando probamos dicha maquina, HoT fue capaz de propagarse a los procesos de los navegadores, sin embargo, en lugar de operar sin problemas, en la mayoría de las ocasiones causaba el congelamiento del navegador o incluso llegaba a hacerlo caer sin ningún motivo aparente para el usuario.

Cuando usamos Firefox en la maquina infectada, solo fue capaz de capturar cadenas vacías de información destinadas al servidor. Con Google Chrome logro capturar algunas transmisiones y enviarlas al servidor.

En ambos casos, el troyano trabajo sin una lista inicial o cualquier otro tipo de filtro de información en la cual su operador pudiese estar interesado, esto significa, que el malware capturaba cada solicitud del navegador, de una manera genérica. Estas peticiones provocan el desorden en el servidor de destino debido a los datos inútiles recolectados.

Funcionaron bien las siguientes funciones no relativas al navegador:

  • Bind shell
  • Reverse shell
  • Download and execute
  • Sockts server
  • Self-remove

Mientras que los troyanos son diseñados para que sean lo más silenciosos posible y no muestran ningún mal funcionamiento del PC, HoT provoco la caída de los navegadores, así como su congelamiento, lo cual puede hacer que un usuario ejecute su software de seguridad, o descargue otro navegador, poniendo fin a la funcionalidad del malware.

Test 2

El segundo test se hizo en una maquina con Ubuntu 12.04 con el navegador por defecto Firefox. Cuando se realizaron las pruebas el troyano se ejecuto con normalidad, pero aparentemente no hacía nada.

Una investigación más profunda revelo que esta distribución utiliza un mecanismo de protección llamado ptrace scope, la cual se encuentra habilitada por defecto. Esta protección impide que un proceso se una a un proceso diferente, incluso cuando los IDs de usuario coincidan (a diferencia del comportamiento de Linux por defecto). Esta protección funciono correctamente evitando que el troyano interfiriera con los procesos del navegador [vamos que lo volvió inútil]. No esta claro si el creador de HoT era consciente de este mecanismo.

El deshabilitando dicha protección, que requiere privilegios de root, permitió que el troyano atacara a Firefox. El proceso de inyección se realiza mediante la unión del proceso remoto, leyendo y modificando los valores de la pila con la función ptrace con las banderas PTRACE_PEEKTEXT y PTRACE_POKETEXT (esta es la razón por que la protección de Ubuntu bloquea dicha actividad).

En la mayoría de los intentos HoT hizó que Firefox se cayera y se cerrara. En alguna ocasión esporádica consiguió capturar algunas solicitudes y después las envió hacia su servidor C&C. Sin embargo, aun con todo, los datos llegaban vacíos al servidor.

Funcionaron las siguientes funciones no relacionadas con el navegador:

  • Bind shell
  • Reverse shell
  • Download & Execute
  • Sockts server
  • Self-remove

Sin embargo cuando se ejecutaba el comando para bind shell, aparecía la siguiente pantalla de bienvenida en la terminal activa de la maquina infectada:

08-09-2013(001)

[Siento la calidad de la imagen]

Lo cual puede hacer que el usuario sospeche y quizá buscar información acerca de Hand of Thief, ya que el nombre del troyano claramente se muestra por la pantalla.

Mi conclusión

En fin, para ser un troyano estable y vendido por 2.000 $ para Gnu / Linux, a mi me parece que no hace bien su trabajo, por lo que por le momento podemos estar tranquilos. La empresa RSA dice que seguirá atenta al desarrollo de HoT para ver si hace progresos, pero independientemente de si los hace o no, quisiera recordar que en casi cualquier distribución de Gnu / Linux existen unas herramientas llamadas clamav y clamtk. La primera es un potente antivirus mantenido por la comunidad y la segunda es una interfaz gráfica para el mismo. Si alguno esta preocupado por la existencia de virus puede instalarse dichas herramientas (que las recomiendo frente a alternativas como Avast o cualquier otra, y detectan también los virus de Windows).

Fuentes | La mirada del replicante | Blog RSA

Anuncios

Aquí puedes dejar tus comentarios.

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s