Pesquisadores de malware do ESET descobriram um novo malware para Linux chamado de Linux/Shishiga com foco em sistemas derivados. Ele usa quatro protocolos diferentes (SSH, Telnet, HTTP e BitTorrent) implementando uma arquitetura modular usando scripts Lua.
“Entre todas as amostras para Linux que recebemos todos os dias, notamos uma amostra detectada somente pela Dr. Web – seu nome de detecção era Linux.LuaBot. Nós consideramos isso como suspeito, já que nossas taxas de detecção para a família Luabot tem sido geralmente elevadas. Após a análise, descobriu-se que este era, na verdade, um bot escrito em Lua, mas representa uma nova família e não está relacionado ao malware Luabot, visto nos meses anteriores. Assim, nós demos a ele um novo nome: Linux/Shishiga. Ele usa quatro diferentes protocolos (SSH — Telnet — HTTP — BitTorrent) e scripts Lua para modularidade”, conforme análise publicada pela empresa de segurança ESET.
O mecanismo de propagação por trás do malware Shishiga tira vantagem do ataque de força bruta. O código malicioso do Shishiga, na verdade, se baseia na utilização de credenciais fracas e padrões nas suas tentativas de se plantar em sistemas inseguros através de ataques de força bruta. O malware usa uma lista de senha embutida na tentativa de invadir um sistema.
bftelnet.lua
[...]
local accounts={
{"admin","admin"},
{"root","root"},
{"adm","adm"},
{"acer","acer"},
{"user","user"},
{"security","security"}
}
[...]
bfssh.lua
[...]
local accounts={
{"admin","admin"},
{"root","root"},
{"adm","adm"},
{"ubnt","ubnt"},
{"root",""},
{"admin",""},
{"adm",""},
{"user","user"},
{"pi","pi"},
}
--[[
{"acer","acer"},
{"security","security"},
{"root","toor"},
{"root","roottoor"},
{"root","password"},
{"root","test"},
{"root","abc123"},
{"root","111111"},
{"root","1q2w3e"},
{"root","oracle"},
{"root","1q2w3e4r"},
{"root","123123"},
{"root","qwe123"},
{"root","p@ssw0rd"},
{"root","1"},
{"root","12"},
{"root","123"},
{"root","1234"},
{"root","12346"},
{"root","123467"},
{"root","1234678"},
{"root","12346789"},
{"root","123467890"},
{"root","qwerty"},
{"root","pass"},
{"root","toor"},
{"root","roottoor"},
{"root","password123"},
{"root","password123456"},
{"root","pass123"},
{"root","password"},
{"root","passw0rd"},
{"root","1qaz"},
{"root","1qaz2wsx"},
{"root","asdfgh"},
{"user","user"},
{"user",""},
{"acer","acer"},
{"security","security"},
{"root","passw0rds"},
]]
[...]
Apesar do Shishiga ter muitas semelhanças com outros malwares recentes ao abusar das credenciais fracas de Telnet e SSH, os pesquisadores consideram que ele é mais sofisticado devido ao uso do protocolo BitTorrent e módulos Lua.
“A primeira vista, o Linux/Shishiga pode parecer ser como os outros, se espalhando através de credenciais fracas de Telnet e SSH, mas o uso do protocolo BitTorrent e módulos Lua o separa do rebanho. O BitTorrent usado em um worm inspirado no Mirai, Hajime, foi observado no ano passado e só podemos especular que pode se tornar mais popular no futuro”, afirma a ESET.
Segundo os especialistas, o malware Shishiga é um trabalho em progresso, no momento da investigação da ESET o malware infectou apenas um pequeno número de máquinas Linux, os pesquisadores também observaram sua contínua adição, remoção e modificação dos componentes juntamente com comentários de código e informações de depuração.
É possível que Shishiga ainda possa evoluir e se tornar mais difundido, mas o baixo número de vítimas, a constante adição, remoção e modificação dos componentes, comentários do código e até mesmo as informações de depuração, indicam claramente que é um trabalho em andamento. Para impedir que seus dispositivos sejam infectados pelo Shishiga e worms semelhantes, não use as credenciais padrão Telnet e SSH.
A ESET está alertando para uma possível evolução do malware Shishiga, a fim de “impedir que seus dispositivos sejam infectadas pelo Shishiga e worms semelhantes, você não deve usar credenciais padrão de Telnet e SSH”.
De 0 a 10, o quanto você recomendaria este artigo para um amigo?