DevSecOps

23 mai, 2017

Malware Shishiga, uma ameaça perigosa em evolução

Publicidade

Pesquisadores de malware do ESET descobriram um novo malware para Linux chamado de Linux/Shishiga com foco em sistemas derivados. Ele usa quatro protocolos diferentes (SSH, Telnet, HTTP e BitTorrent) implementando uma arquitetura modular usando scripts Lua.

Entre todas as amostras para Linux que recebemos todos os dias, notamos uma amostra detectada somente pela Dr. Web – seu nome de detecção era Linux.LuaBot. Nós consideramos isso como suspeito, já que nossas taxas de detecção para a família Luabot tem sido geralmente elevadas. Após a análise, descobriu-se que este era, na verdade, um bot escrito em Lua, mas representa uma nova família e não está relacionado ao malware Luabot, visto nos meses anteriores. Assim, nós demos a ele um novo nome: Linux/Shishiga. Ele usa quatro diferentes protocolos (SSH — Telnet — HTTP — BitTorrent) e scripts Lua para modularidade”, conforme análise publicada pela empresa de segurança ESET.

O mecanismo de propagação por trás do malware Shishiga tira vantagem do ataque de força bruta. O código malicioso do Shishiga, na verdade, se baseia na utilização de credenciais fracas e padrões nas suas tentativas de se plantar em sistemas inseguros através de ataques de força bruta. O malware usa uma lista de senha embutida na tentativa de invadir um sistema.

bftelnet.lua

[...]
local accounts={
    {"admin","admin"},
    {"root","root"},
    {"adm","adm"},
    {"acer","acer"},
    {"user","user"},
    {"security","security"}
}
[...]

bfssh.lua

[...]
local accounts={
    {"admin","admin"},
    {"root","root"},
    {"adm","adm"},
    {"ubnt","ubnt"},
    {"root",""},
    {"admin",""},
    {"adm",""},
    {"user","user"},
    {"pi","pi"},
}
--[[
    {"acer","acer"},
    {"security","security"},
    {"root","toor"},
    {"root","roottoor"},
    {"root","password"},

    {"root","test"},
    {"root","abc123"},
    {"root","111111"},
    {"root","1q2w3e"},
    {"root","oracle"},
    {"root","1q2w3e4r"},
    {"root","123123"},
    {"root","qwe123"},
    {"root","p@ssw0rd"},
    {"root","1"},
    {"root","12"},
    {"root","123"},
    {"root","1234"},
    {"root","12346"},
    {"root","123467"},
    {"root","1234678"},
    {"root","12346789"},
    {"root","123467890"},
    {"root","qwerty"},
    {"root","pass"},
    {"root","toor"},
    {"root","roottoor"},
    {"root","password123"},
    {"root","password123456"},
    {"root","pass123"},
    {"root","password"},
    {"root","passw0rd"},
    {"root","1qaz"},
    {"root","1qaz2wsx"},
    {"root","asdfgh"},
    {"user","user"},
    {"user",""},
    {"acer","acer"},
    {"security","security"},
    {"root","passw0rds"},
]]
[...]

Apesar do Shishiga ter muitas semelhanças com outros malwares recentes ao abusar das credenciais fracas de Telnet e SSH, os pesquisadores consideram que ele é mais sofisticado devido ao uso do protocolo BitTorrent e módulos Lua.

A primeira vista, o Linux/Shishiga pode parecer ser como os outros, se espalhando através de credenciais fracas de Telnet e SSH, mas o uso do protocolo BitTorrent e módulos Lua o separa do rebanho. O BitTorrent usado em um worm inspirado no Mirai, Hajime, foi observado no ano passado e só podemos especular que pode se tornar mais popular no futuro”, afirma a ESET.

Segundo os especialistas, o malware Shishiga é um trabalho em progresso, no momento da investigação da ESET o malware infectou apenas um pequeno número de máquinas Linux, os pesquisadores também observaram sua contínua adição, remoção e modificação dos componentes juntamente com comentários de código e informações de depuração.

É possível que Shishiga ainda possa evoluir e se tornar mais difundido, mas o baixo número de vítimas, a constante adição, remoção e modificação dos componentes, comentários do código e até mesmo as informações de depuração, indicam claramente que é um trabalho em andamento. Para impedir que seus dispositivos sejam infectados pelo Shishiga e worms semelhantes, não use as credenciais padrão Telnet e SSH.

A ESET está alertando para uma possível evolução do malware Shishiga, a fim de “impedir que seus dispositivos sejam infectadas pelo Shishiga e worms semelhantes, você não deve usar credenciais padrão de Telnet e SSH”.