A ESET anunciou a sua mais recente descoberta de 12 famílias de malware Linux não detetadas anteriormente, baseadas no OpenSSH, documentadas no seu mais recente trabalho de pesquisa “The Dark Side of the ForSSHe”. O OpenSSH é a ferramenta mais comum para administradores de sistema gerirem servidores Linux virtuais, alugados ou dedicados e, utilizada por 37% dos servidores de Internet públicos que correm o Linux.
A pesquisa, que envolveu a implementação de honeypots customizados, classifica as amostras e analisa as diferentes famílias de malware, dando um panorama geral e atual da backdoor de OpenSSH. Ao analisar as amostras, os investigadores da ESET revelaram vários truques interessantes; uma família de malware tem várias formas de comunicar com seu servidor C&C, implementando HTTP, TCP e DNS. Enquanto isso, outras famílias de malware poderiam receber comandos através da password de SSH ou incluir recursos de mineração de criptomoeda.
Marc-Etienne Léveillé, investigador sénior de malware da ESET, que liderou o estudo, comentou a importância de tais ameaças: “Às vezes, ainda ouço o velho mito de que o Linux é mais seguro que outros sistemas operativos, e de algum modo imune a malware. Mas as ameaças que enfrentam não são menos graves e dedicamos por isso recursos na pesquisa e melhoria da proteção contra as mesmas”.
A pesquisa mais recente da ESET segue as perceções recolhidas na sua investigação denominada Operation Windigo em 2013, onde investigadores da ESET descobriram uma botnet complexa de máquinas Linux e ajudaram a interromper a botnet de 25 mil dispositivos. O componente-chave de Windigo foi uma backdoor baseada no OpenSSH chamada Ebury. Os investigadores da ESET observaram que os agentes maliciosos realizaram uma verificação se outros backdoors do SSH estão presentes no sistema alvo antes de sua implementação. Como a maioria das backdoors era desconhecida na época, a ESET decidiu começar a procurá-las e essa pesquisa mais recente é o resultado dessa busca bem-sucedida.
Para proteger os sistemas e proteger os dados, a ESET recomenda que as empresas realizem o seguinte:
- Mantenham os sistemas atualizados
- Favoreçam a autenticação de SSH baseada em chaves
- Não permitam o acesso remoto de root
- Utilizem uma solução de autenticação multifator para SSH
Concluindo e sobre a importância do estudo, Léveillé comentou ainda: “Espero que estas descobertas permitam melhorias significativas na prevenção, deteção e correção de futuros ataques baseados em OpenSSH, em servidores Linux. Servidores comprometidos são um pesadelo para a cibersegurança mas trabalhando juntos, administradores de sistemas e investigadores de malware podem ajudar-se uns aos outros na luta contra o malware do lado do servidor. ”
