Sistemas de Linux infiltrados y controlados en un botnet DDoS
El sector del entretenimiento es objetivo de ataques DDoS
Se cree que un botnet grande y en crecimiento se está extendiendo desde Asia a más regiones
Madrid, 15 de septiembre de 2014 – Akamai Technologies, Inc. (NASDAQ: AKAM), líder de servicios cloud para entregar, optimizar y securizar el contenido y las aplicaciones empresariales online, ha publicado a través del Equipo de Respuesta e Ingeniería de Seguridad de Prolexic (PLXsert) una nueva advertencia de amenazas a la seguridad cibernética. La alerta avisa a las empresas de una amenaza de alto riesgo de infecciones IptabLes y IptabLex en sistemas Linux. Los actores maliciosos pueden usar los sistemas infectados de Linux para lanzar los ataques de denegación de servicios distribuidos (DDoS) contra el sector del entretenimiento y otros sectores verticales. Se puede descargar la advertencia desde Prolexic (que ahora forma parte de Akamai) en www.prolexic.com/iptablex.
"Hemos seguido el rastro de una de las campañas de ataque DDoS más importantes de 2014 de infección a través del malware IptabLes y IptabLex en sistemas Linux," dijo Stuart Scholly, Vicepresidente y Director General de la Unidad de Negocios de Seguridad de Akamai. "Esto supone un desarrollo significativo en seguridad cibernética porque el sistema operativo Linux no se emplea normalmente en botnets DDoS. Actores maliciosos se han aprovechado de vulnerabilidades conocidas en el software de Linux sin parche para lanzar ataques DDoS. Es necesario que los administradores de Linux tengan conocimiento de esta amenaza para que puedan actuar y proteger sus servidores".
Amenaza de botnet DDoS a sistemas Linux
Parece que la infección en masa de IptabLes y IptabLex haya sido dirigida por un gran número de servidores web basados en Linux que se han visto comprometidos, sobre todo por exploits de vulnerabilidades de Apache Struts, Tomcat y Elasticsearch. Los atacantes han aprovechado las vulnerabilidades de Linux en servidores sin mantenimiento para obtener acceso, escalar privilegios para permitir el control remoto de la máquina y después introducir código malicioso en el sistema y ejecutarlo. Como resultado de ello, un sistema podría controlarse remotamente como parte de un botnet DDoS.
Un indicador posterior a la infección es una carga llamada .IptabLes o .IptabLex situada en el directorio /boot. Estos archivos de script ejecutan el binario .IptabLes al reiniciar. El malware también contiene una función de actualización automática que hace que el sistema infectado contacte con un alojamiento remoto para descargar un archivo. En entorno de laboratorio, un sistema infectado intentó contactar dos direcciones IP situadas en Asia.
Asia, aparentemente una importante fuente de ataques DDoS
Los comandos y los centros de control (C2, CC) de IptabLes y IptabLex están situados actualmente en Asia. Inicialmente se creía que los sistemas infectados estaban en Asia; pero se observaron muchas más infecciones recientemente alojadas en servidores de los Estados Unidos y en otras regiones. En el pasado, la mayoría de las infecciones de bot DDoS se originaron en Rusia, pero ahora Asia parece ser una fuente importante de desarrollo DDoS.
Prevención, detección y mitigación de DDoS
Detectar y prevenir una infección IptabLes o IptabLex en sistemas Linux implica hacer parches y blindar los servidores Linux y la detección de antivirus. En el aviso de amenaza, PLXsert proporciona comandos de choque para limpiar un sistema infectado.
La mitigación DDoS para el objetivo de un atacante DDoS que controla estos bots infectados puede incluir técnicas de mitigación DDoS de tasa limitada. Además, PLXsert comparte una regla YARA en el aviso de amenaza para identificar la carga de ELF IptabLes usada en una campaña de ataque registrada.
El botnet IptabLes y IptabLex ha producido importantes campañas de ataque DDoS para las que las empresas objetivo han buscado expertos en protección DDoS. Akamai ofrece soluciones en mitigación de DDoS para detener ataques DDoS iniciados desde bots IptabLes y IptabLex.
PLXsert se anticipa a una mayor infección y a la expansión de este botnet DDoS.
Consiga el Aviso de Amenazas de Bot DDoS IptabLes y IptabLex para más información
En el aviso, PLXsert comparte su análisis e información acerca de infecciones Iptables y IptabLes, incluyendo:
· Indicadores de infección
· Análisis del binario (ELF) asociado con las infecciones IptabLes y IptabLex
· Inicialización, consolidación y resistencia de carga
· Análisis del código de red
· Historia de usuario de una campaña de ataque DDoS
· Cómo blindar los servidores de Linux ante esta amenaza
· Índices de detección de antivirus
· Comandos de choque para limpiar un sistema infectado
· Regla YARA para identificar una carga ELF IptabLes
· Técnicas de mitigación DDoS
Puede descargar una copia de cortesía del aviso de amenaza en www.prolexic.com/iptablex.
No hay comentarios:
Publicar un comentario