O malware direcionado a ambientes Linux aumentou bastante no ano passado, com os agentes das ameaças a recorrerem a uma multiplicidade de técnicas para realizar operações.
Andrada Fiscutean
O Linux é um alvo cobiçado. É o sistema operativo anfitrião de numerosos backends de aplicações e servidores e alimenta uma grande variedade de dispositivos da Internet das Coisas (IoT). No entanto, não se está a fazer o suficiente para proteger as máquinas que o operam.
“O malware do Linux tem sido maciçamente ignorado”, diz Giovanni Vigna, diretor sénior de inteligência de ameaças da VMware. “Dado que a maioria dos anfitriões de clouds correm Linux, poder comprometer plataformas baseadas em Linux permite a um atacante aceder a uma enorme quantidade de recursos ou infligir danos substanciais através de resgates e limpadores”.
Nos últimos anos, os cibercriminosos têm visado sistemas baseados em Linux. O objetivo é frequentemente infiltrarem-se em redes empresariais e governamentais ou aceder a infraestruturas críticas, de acordo com um relatório recente da VMware. Exploram a fraca autenticação, vulnerabilidades inigualáveis e má configuração do servidor, entre outras coisas.
O malware do Linux não só está a tornar-se mais prevalecente, como também mais diversificado. A empresa de segurança Intezer analisou a singularidade do código de estirpes de malware para verificar o grau de inovação dos seus autores. Encontrou um aumento na maioria das categorias de malware em 2021, em comparação com 2020, incluindo resgates, trojans bancários e botnets. “Este aumento na segmentação do Linux pode estar correlacionado com organizações que se movem cada vez mais para ambientes de clouds, que muitas vezes dependem do Linux para o seu funcionamento”, de acordo com o relatório. “O nível de inovação do malware do Linux aproximou-se do nível de malware baseado no Windows”.
Como o malware do Linux continua a evoluir, as organizações devem prestar atenção aos ataques mais comuns e reforçar a segurança a cada passo. “Embora o Linux possa ser mais seguro que outros sistemas operativos, é importante ter em mente que um sistema operativo é apenas tão seguro como o seu elo mais fraco”, diz Ronnie Tokazowski, conselheiro sénior de ameaças da Cofense.
Os seis tipos de ataques a Linux a ter em conta:
1. Ransomware visando imagens de máquinas virtuais
Nos últimos anos, os gangues de resgates começaram a visar ambientes Linux. A qualidade das amostras de malware varia muito, mas bandos como o Conti, DarkSide, REvil e Hive estão a atualizar rapidamente os seus conjuntos de competências.
Tipicamente, os ataques de resgate contra ambientes cloud são cuidadosamente planeados. Segundo a VMware, os cibercriminosos tentam comprometer totalmente a sua vítima antes de começarem a encriptar ficheiros.
Recentemente, grupos como RansomExx/Defray777, e Cçlzonti começaram a visar as imagens de anfitriões Linux utilizadas para cargas de trabalho em ambientes virtualizados. “Este novo e preocupante desenvolvimento mostra como os atacantes procuram os bens mais valiosos em ambientes cloud para infligir o máximo dano”, refere o relatório VMware.
A encriptação de imagens de máquinas virtuais alojadas em hipervisores ESXi é de particular interesse para estes gangues, porque sabem que podem ter um impacto significativo nas operações. É “um tema comum no panorama do resgate para desenvolver novos binários especificamente para encriptar máquinas virtuais e os seus ambientes de gestão”, refere um relatório da empresa de segurança Trellix.
2. O criptojacking está a aumentar
O criptojacking é um dos tipos mais prevalentes malware Linux porque pode produzir dinheiro rapidamente. “A intenção deste software é utilizar recursos computacionais para gerar moedas criptográficas para um atacante”, normalmente Monero, diz Tokazowski.
Um dos primeiros ataques notáveis ocorreu em 2018, quando a cloud pública da Tesla foi vítima. “Os cibercriminosos infiltraram-se na consola Kubernetes da Tesla, que não estava protegida por palavra-passe”, de acordo com a empresa de monitorização de clouds, RedLock. “Dentro de uma cápsula Kubernetes, as credenciais de login foram expostas ao ambiente AWS da Tesla, que continha um Amazon S3 (Amazon Simple Storage Service) que continha dados sensíveis, tais como telemetria”.
O criptojacking tornou-se mais prevalecente, estando XMRig e Sysrv entre as famílias criptominer mais proeminentes. Um relatório, SonicWall, mostrou que o número de tentativas aumentou 19% em 2021 em relação a 2020. “Para os clientes do governo e dos cuidados de saúde, este aumento foi de três dígitos, com um crescimento do cryptojacking de 709% e 218%, respetivamente”, afirmou. A empresa de segurança contou uma média de 338 tentativas de criptojacking por rede de clientes, em média.
Para atacar as suas vítimas, muitos gangues utilizam listas de palavras-passe por defeito, explorações de bash ou explorações que visam intencionalmente sistemas mal configurados com segurança fraca, segundo Tokazowski. “Algumas destas configurações erradas podem incluir ataques de travessia de diretórios, ataques de inclusão de ficheiros remotos ou confiar em processos mal configurados com instalações-padrão”, diz.
3. Três famílias de malware – XorDDoS, Mirai e Mozi – têm como alvo a IOT
A IdC corre no Linux, com poucas exceções, e a simplicidade dos dispositivos pode ajudar a torná-los potenciais vítimas. O CrowdStrike relatou que o volume de malware dirigido a gadgets executados no Linux aumentou 35% em 2021 em comparação com 2020. Três famílias de malware representam 22% do total: XorDDoS, Mirai e Mozi. Seguem o mesmo padrão de infetar dispositivos, acumulando-os num botnet e depois utilizando-os para realizar ataques DDoS.
Mirai, um Trojan Linux que utiliza ataques de força bruta Telnet e Secure Shell (SSH) para comprometer dispositivos, é considerado o antepassado comum de muitas estirpes de malware DDoS Linux. Uma vez que o seu código fonte foi tornado público em 2016, surgiram múltiplas variantes. Além disso, os autores de malware aprenderam com ele e implementaram as características de Mirai nos seus próprios Trojans.
CrowdStrike observou que o número de variantes do Mirai malware compiladas para sistemas Linux alimentados por Intel mais do que duplicou no primeiro trimestre de 2022, em comparação com o primeiro trimestre de 2021, com o maior aumento nas variantes visando processadores de 32-bit x86. “As variantes de Mirai evoluem continuamente para explorar vulnerabilidades inigualáveis e expandir a sua superfície de ataque”, diz o relatório.
Outro próspero Trojan Linux é o XorDDoS. A Microsoft verificou que esta ameaça aumentou em 254 por cento nos últimos seis meses. O XorDDoS utiliza variantes de si mesmo compiladas para as arquiteturas ARM, x86 e x64 do Linux para aumentar a probabilidade de uma infeção bem-sucedida. Tal como o Mirai, utiliza ataques de força bruta para obter acesso aos seus alvos e, uma vez dentro, procura servidores Docker com porta 2375 aberta para obter acesso remoto sem palavra-passe à raiz do anfitrião.
O Mozi compromete os seus alvos de uma forma algo semelhante, mas para evitar que outro malware tome o seu lugar, bloqueia os portos SSH e Telnet. Cria uma botnet peer-to-peer e utiliza o sistema de mesa de hash distribuída (DHT) para esconder a sua comunicação com o servidor de comando e controlo por detrás do tráfego legítimo de DHT.
A atividade dos botnets mais bem-sucedidos permanece consistente ao longo do tempo, de acordo com o relatório Global Threat Landscape da Fortinet. A empresa de segurança descobriu que os autores de malware esforçaram-se muito para garantir que a infeção seja persistente ao longo do tempo, o que significa que o reinício do dispositivo não deve apagar o controlo do hacker sobre o alvo infetado.
4. Ataques patrocinados pelo Estado visam ambientes Linux
Os investigadores de segurança que monitorizam grupos têm notado que estão a visar cada vez mais os ambientes Linux. “Muito malware Linux foi implantado com o início da guerra Rússia-Ucrânia”, diz Ryan Robinson, investigador de segurança da Intezer. O grupo russo APT Sandworm tinha alegadamente atacado sistemas Linux de agências britânicas e americanas alguns dias antes do início do ataque, de acordo com a Cyfirma.
A ESET foi uma das empresas que acompanhou de perto o conflito e as suas implicações em termos de cibersegurança. “Há um mês, estávamos a observar o Industroyer2, um ataque contra um fornecedor de energia ucraniano”, diz Marc-Étienne Léveillé, investigador sénior de malware na ESET. “Este ataque incluiu vermes Linux e Solaris que se espalharam usando SSH e talvez credenciais roubadas. Este foi um ataque altamente direcionado que tinha claramente o objetivo de destruir dados em bases de dados e sistemas de ficheiros”.
O limpa para-brisas Linux “destrói todo o conteúdo dos discos ligados ao sistema”, de acordo com o documento da ESET. “Se forem ligados vários discos, a remoção de dados é efetuada em paralelo para acelerar o processo”. Juntamente com a CERT-UA, a ESET atribuiu o malware ao grupo Sandstorm APT, que tinha utilizado a Industroyer em 2016 para cortar energia na Ucrânia.
Quanto a outros atores, Microsoft e Mandiant observaram que múltiplos grupos apoiados pela China, Irão, Coreia do Norte e outros têm vindo a explorar a infame falha Log4j nos sistemas Windows e Linux para obterem acesso a redes específicas.
5. Os ataques sem ficheiro são difíceis de detetar
Os investigadores de segurança da AT&T’s Alien Labs descobriram que vários atores, incluindo o TeamTNT, começaram a utilizar o Ezuri, uma ferramenta de código aberto escrita em Golang. Os atacantes usam Ezuri para encriptar código malicioso. Quando desencriptada, a carga útil é executada diretamente da memória sem deixar qualquer vestígio no disco, o que torna estes ataques difíceis de detetar pelo software antivírus.
O grupo principal associado a esta técnica, TeamTNT, visa sistemas Docker mal configurados a fim de instalar bots e cryptominers DDoS.
6. O malware Linux tem como alvo as máquinas Windows
O malware Linux também pode explorar máquinas Windows através do Subsistema Windows para Linux (WSL), uma característica do Windows que permite que os binários Linux funcionem nativamente neste sistema operativo. A WSL deve ser instalada manualmente ou aderindo ao programa Windows Insider, mas os atacantes podem instalá-la se tiverem acesso elevado.
A empresa Qualys de segurança Qualys examinou a viabilidade de realizar ataques ou ganhar persistência numa máquina Windows usando WSL. Analisou duas técnicas até agora, a execução por procuração e a instalação de utilidades, e concluiu que ambas são altamente viáveis. Segundo os peritos de segurança da empresa, as organizações que se querem proteger contra tais ataques podem desativar a virtualização e a capacidade de instalar a WSL. É igualmente útil para auditar processos em curso numa base contínua.
Os atacantes também deslocaram a funcionalidade das ferramentas Windows para Linux, com o objetivo de atacar mais plataformas. Um exemplo é a Vermilion Strike, que se baseia numa popular ferramenta de teste de penetração do Windows, CobaltStrike, mas pode ser usada para atacar tanto o Windows como o Linux. A Vermilion Strike oferece aos atacantes capacidade de acesso remoto, incluindo manipulação de ficheiros e execução de comandos de shell. A ferramenta foi utilizada contra empresas de telecomunicações, agências governamentais e instituições financeiras, e a principal intenção dos atacantes era a de conduzir espionagem.
Os investigadores da Intezer afirmam no seu relatório que “a Vermilion Strike pode não ser a última implementação Linux” do CobaltStrike Beacon.
Proteção contra malware que visa ambientes Linux
A segurança é mais fraca quando os administradores e desenvolvedores de sistemas correm contra o tempo e prazos. Os programadores, por exemplo, podem confiar cegamente no código comunitário; eles copiam/colar o código do Stack Overflow, executam software rapidamente após clonagem de um repositório GitHub, ou implantam uma aplicação do Docker Hub diretamente no seu ambiente de produção.
Os atacantes oportunistas tiram partido desta “economia da atenção”. Adicionam criptominadores aos contentores Docker ou criam pacotes de código aberto com nomes quase idênticos a bibliotecas amplamente utilizadas, tirando partido do ocasional erro ortográfico por parte dos programadores.
“A exploração das instalações abertas de Docker e Kubernetes é bastante interessante: pessoas descuidadas deixam as suas instalações de contentores abertas ao mundo, e estas instalações são facilmente assumidas e utilizadas para novos ataques ou outra atividade de monetização, como a exploração mineira Monero”, diz o Vigna da VMware.
“Sou um ávido apoiante do software e da cultura de código aberto, mas uma coisa que faz o meu cabelo ficar em pé é a fragilidade da cadeia de confiança em repositórios de software públicos”, diz Ryan Cribelar, engenheiro de pesquisa de vulnerabilidades do Nucleus Security. “Esta não é uma preocupação específica do Linux, claro, mas uma biblioteca maliciosa que espreita nos repositórios PyPi ou NPM, por exemplo, poderia causar a maior perda de sono para as equipas de administração e segurança do Linux”.
No caso dos servidores Linux, os erros de configuração são também um grande problema, e podem ocorrer em múltiplos pontos da infraestrutura. “Normalmente, as configurações de firewall ou de grupo de segurança estão mal configuradas para permitir o acesso à Internet em geral, permitindo o acesso externo a aplicações implementadas em servidores Linux”, diz Robinson, da Intezer.
As aplicações são muitas vezes mal configuradas para permitir o acesso sem autenticação ou utilizando credenciais por defeito. “Dependendo da aplicação mal configurada, os atacantes podem roubar informação ou executar código malicioso no servidor Linux”, acrescenta Robinson. “Exemplos comuns incluem demónios Docker mal configurados, que permitem aos atacantes executar os seus próprios contentores, ou aplicações mal configuradas que vazam senhas e informações de clientes, tais como o Apache Airflow. Robinson acrescenta que a configuração padrão muitas vezes não equivale a uma configuração segura.
Joel Spurlock, diretor sénior de investigação sobre malware no CrowdStrike, vê outro problema: a aplicação de patches. Ele argumenta que as organizações “não podem ou não querem manter as máquinas atualizadas”. Os patches devem ser aplicados regularmente, e as palavras-chave como EDR e Zero Trust também devem constar do menu.
O malware que tem como alvo ambientes Linux prospera num vasto campo de jogos de dispositivos e servidores de consumo, ambientes virtualizados e sistemas operativos especializados, pelo que as medidas de segurança necessárias para os proteger requerem atenção e planeamento meticuloso de todos.