Ebury es un sofisticado malware de Linux descubierto por primera vez en 2011 que apunta a servidores SSH para establecer un acceso de puerta trasera y permitir el control remoto no autorizado de los sistemas infectados. El objetivo principal de este malware es recopilar credenciales, como información de inicio de sesión SSH, de un servidor comprometido, lo que permite al atacante comprometer otras máquinas de la red. Ebury es particularmente conocido por su gran botnet, donde los sistemas comprometidos se utilizan para una variedad de actividades maliciosas. Esto incluye enviar spam, realizar ataques distribuidos de denegación de servicio (DDoS), implementar malware adicional y robar información confidencial, como billeteras de criptomonedas, credenciales de inicio de sesión y detalles de tarjetas de crédito.
Una de las principales características de Ebury es su persistencia, lograda modificando las bibliotecas centrales del sistema (como reemplazando libkeyutils) y usando un rootkit de usuario para ocultar su existencia a los administradores del sistema. Además, Ebury suele utilizar ofuscación y cifrado para disfrazar las comunicaciones con los servidores de comando y control, lo que dificulta aún más la detección y el análisis. Su capacidad para mantener el acceso de forma encubierta mientras realizan una variedad de actividades maliciosas los convierte en una gran amenaza para la seguridad de la red.
AttackIQ ha publicado un gráfico de ataque que emula el comportamiento exhibido por Ebury para ayudar a los clientes a validar sus controles de seguridad y su capacidad para defenderse contra esta amenaza.
Validar el desempeño de su programa de seguridad frente a estos comportamientos es esencial para mitigar el riesgo. Con este nuevo gráfico de ataques en la plataforma de optimización de seguridad AttackIQ, los equipos de seguridad pueden:
Evalúe el desempeño de los controles de seguridad contra amenazas sigilosas y persistentes de Linux. Evalúe su postura de seguridad frente a las tácticas, técnicas y procedimientos (TTP) demostrados por Ebury. Valide continuamente su proceso de detección y prevención en entornos Linux.
Everly – 2024-05 – Cadena de infección
En mayo de 2024, ESET publicó un documento técnico que proporciona un análisis detallado del malware Ebury Linux. Ebury continúa comprometiendo servidores Linux en todo el mundo para obtener ganancias financieras. A pesar de los arrestos y castigos anteriores para los principales culpables, Ebury continúa operando y el malware continúa evolucionando.
En respuesta a este informe, AttackIQ creó este gráfico de ataque que emula las acciones y tácticas, técnicas y procedimientos (TTP) de Ebury descritos en el documento técnico.
Acceso inicial y evasión de defensa: implementación de Ebury
En esta etapa, descargará y guardará la muestra de Ebury en su sistema. A continuación, utilice la variable de entorno LD_PRELOAD para cargar la biblioteca compartida escrita de forma personalizada. Luego se cambia la marca de tiempo del archivo temporal. Finalmente, se cambia el nombre del archivo para imitar un proceso legítimo.
Transferencia de herramientas de ingreso (T1105): estos escenarios se descargan en la memoria y se guardan en el disco en dos escenarios separados para probar el control y la funcionalidad de la red y del terminal para evitar la entrega de contenido malicioso conocido.
Secuestro de flujo de ejecución: secuestro de vinculador dinámico (T1574.006): este escenario utiliza la variable de entorno LD_PRELOAD para cargar una biblioteca compartida escrita de forma personalizada.
Eliminación de indicadores: Timestomp (T1070.006): este escenario simula la técnica de marca de tiempo creando un archivo temporal y usando un script Bash para cambiar la marca de tiempo del archivo.
Masquerade: cambio de nombre de las utilidades del sistema (T1036.003): en este escenario, copia el archivo sh del directorio estándar del sistema, le cambia el nombre a “ping” para evitar la detección y luego ejecuta el comando whoami.
Descubrimiento y acceso a credenciales: creación de perfiles del sistema y recuperación de credenciales
Esta fase comienza con la recopilación de información del sistema y de la red. A continuación, cambie los permisos del archivo para elevar sus privilegios. Finalmente, inicie una conexión HTTP para la comunicación de comando y control.
Descubrimiento de información del sistema (T1082): en este escenario, ejecuta el comando lshw para recopilar información sobre el sistema comprometido.
Descubrimiento de la configuración de red del sistema (T1016): en este escenario, ejecute ip route, netstat, route, ifconfig o arp para obtener información sobre la configuración de red del sistema.
Cambiar permisos de archivos y directorios: Cambiar permisos de archivos y directorios en Linux y Mac (T1222.002): en este escenario, ejecute el comando chmod para cambiar los permisos de un archivo o directorio específico.
Protocolo de capa de aplicación: protocolo web (T1071.001): este escenario simula un atacante que intenta eludir las defensas de seguridad de la red comunicándose a través del protocolo HTTP mediante el puerto TCP 80.
Recolección y exfiltración: infecta sistemas adicionales y exfiltra archivos
Durante esta etapa, Ebury se mueve lateralmente a través de conexiones SSH comprometidas, propagándose por toda la red y cifrando archivos específicos. A continuación, inicie una sesión SSH con el servidor externo. Finalmente, extrae los datos recopilados comprimiéndolos con un tar y enviándolos a un registro DNS A mediante el protocolo UDP.
Servicios remotos: SSH (T1021.004): este escenario utiliza el protocolo Secure Shell (SSH) para abrir un shell remoto e intentar ejecutar comandos en la computadora de destino.
Servicios remotos: SSH (T1021.004): en este escenario, AttackIQ inicia una conexión SSH a un servidor externo alojado y aplica límites de tráfico saliente.
Exfiltración de información a través de protocolos alternativos: Exfiltración de información a través de protocolos no cifrados que no son C2 (T1048.003): este escenario utiliza consultas de registros DNS A para simular la filtración de información a través de DNS.
Oportunidad de ampliar las capacidades de emulación
Además del gráfico de ataque de lanzamiento, AttackIQ recomienda los siguientes escenarios para ampliar la emulación de la funcionalidad demostrada por Ebury:
Vaciado de contraseñas de Linux: el propósito de este escenario es extraer contraseñas almacenadas en la memoria de los procesos que se ejecutan en un sistema Linux a través del sistema de archivos /proc.
Proxy de conexión: este escenario simula el uso de un proxy para enmascarar las comunicaciones estableciendo una conexión HTTP con el servidor AttackIQ a través de un proxy especificado por el usuario.
Oportunidades de detección y mitigación
Los actores de amenazas utilizan una amplia variedad de técnicas, lo que dificulta determinar qué técnicas priorizar al evaluar la prevención y la detección. AttackIQ recomienda que primero te concentres en las siguientes técnicas emuladas en tu escenario y luego pases a las técnicas restantes:
1. Secuestro de flujo de ejecución: Secuestro de vinculador dinámico (T1574.006):
Un atacante podría secuestrar las variables de entorno utilizadas por el vinculador dinámico para cargar bibliotecas compartidas, como LD_PRELOAD, para ejecutar cargas útiles maliciosas.
1a.
Esta técnica incluye monitorear los comandos ejecutados que intentan cambiar la variable LD_PRELOAD, monitorear nuevos archivos agregados a la ruta absoluta de LD_PRELOAD, monitorear los cambios en las variables de entorno y monitorear los procesos recién ejecutados para buscar actividades inusuales. Hay múltiples oportunidades de detección, incluida la vigilancia.
1b. Medidas de mitigación
MITRE ATT&CK recomienda las siguientes mitigaciones:
2. Volcar las credenciales del sistema operativo: Sistema de archivos Proc (T1003.007):
Un atacante podría recopilar credenciales del sistema de archivos proc o /proc. Cuando se ejecuta con privilegios de root, un atacante puede buscar en estas ubicaciones de memoria todos los procesos del sistema que contengan patrones que indiquen credenciales. Esto se puede lograr utilizando patrones de expresión regulares. Un proceso puede ver sus propias ubicaciones de memoria virtual incluso cuando se ejecuta sin acceso privilegiado. Algunos servicios o programas pueden almacenar credenciales en texto claro dentro de la memoria del proceso.
2a.
Proc Monitors ejecutó comandos y argumentos que pueden recopilar credenciales de la información almacenada en el sistema de archivos o /proc. Por ejemplo, un atacante podría utilizar patrones de expresión regular para buscar en la memoria del proceso que podría estar expuesta o para buscar credenciales.
grep -E “^(0-9a-f-)* r” /proc/”$pid”/maps | grep -E 'montón|pila' | cut -d' ' -f 1
grep -E “^(0-9a-f-)* r” /proc/”$PID”/maps | grep montón | cortar -d'' -f 1
2b. Medidas de mitigación
MITRE ATT&CK recomienda las siguientes mitigaciones:
3. Servicios Remotos: SSH (T1021.004):
Un atacante podría utilizar una cuenta válida para iniciar sesión en una máquina remota a través de un shell seguro (SSH). El atacante podría entonces realizar acciones como el usuario que inició sesión.
3a.
En los sistemas Linux, puede aprovechar el marco de auditoría (auditd) para monitorear la creación de procesos relacionados con SSH, como ssh, y para rastrear cambios en los archivos de registro SSH que almacenan información sobre las cuentas iniciadas. Además, monitorear las conexiones de red recién establecidas, especialmente en el puerto 22, puede ayudar a detectar inicios de sesión SSH que pueden usar cuentas válidas para acceder a máquinas remotas.
3b. Medidas de mitigación
MITRE ATT&CK recomienda las siguientes mitigaciones:
resumen
En resumen, este gráfico de ataques evalúa los procesos de respuesta a incidentes y seguridad y respalda la mejora de la postura de gestión de seguridad para Ebury. Al utilizar los datos generados a partir de pruebas continuas y este gráfico de ataques, los equipos pueden centrarse en lograr resultados de seguridad clave, alinear los controles de seguridad y aumentar la eficacia del programa de seguridad general contra amenazas persistentes conocidas.
AttackIQ proporciona una plataforma integral de simulación de ataques e infracciones para ayudar a los equipos de seguridad. Estos incluyen AttackIQ Flex, un servicio personalizado de pago por uso, AttackIQ Ready!, un servicio totalmente administrado para la optimización continua de la seguridad, y AttackIQ, un servicio coadministrado con soporte mejorado que incluye Enterprise. Estos servicios ayudan a su equipo a mantener una postura de seguridad sólida.
Fuente:
