PDF de programación - Operacin Windigo ESET Español

Operación Windigo

Análisis de una gran campaña de malware que roba

credenciales desde servidores Linux



Olivier Bilodeau • Pierre-Marc Bureau • Joan Calvet

Alexis Dorais-Joncas • Marc-Étienne M.Léveillé •
Benjamin Vanheuverzwijn



Marzo, 2014


Operación Windigo



2

2



Contenido

RESUMEN EJECUTIVO

Descubrimientos principales

INTRODUCCIÓN

Por qué estamos publicando este informe

OPERACIÓN WINDIGO

Panorama global

Cronología de sucesos

Uniendo los cabos sueltos

Modus operandi del robo de credenciales

Escenarios de infección

Hosts infectados con Linux/Ebury

Modus operandi de la redirección del tráfico Web

Análisis de contraseñas SSH robadas

Análisis de spam

Bot falso

Análisis del tráfico de comando y control

Metadatos de comando y control

Infraestructura de alojamiento de DNS



4

4

6

7

7

7

10

11

13

14

16

17

21

23

23

26

29

31

3

3

31

34

36

36

36

36

37

38

Operación Windigo



Usuarios finales infectados

CONCLUSIÓN

APÉNDICE 1: DESINFECCIÓN

Linux/Ebury

Linux/Cdorked

Linux/Onimiki

Perl/Calfbot

APÉNDICE 2: PREVENCIÓN



Operación Windigo



RESUMEN EJECUTIVO

4

4

El presente documento aporta detalles sobre una sofisticada operación de gran magnitud, cuyo nombre en

código es "Windigo", y mediante la cual un grupo malicioso afectó miles de servidores Linux y Unix. Los

servidores comprometidos se usan para robar credenciales SSH, para redirigir a quienes visitan los sitios Web a

contenido malicioso y para enviar spam.

Esta operación ha estado activa desde al menos 2011 y afectó servidores y empresas de alto perfil, entre las

que se incluyen cPanel (la empresa tras el famoso panel de control de hosting de sitios Web) y kernel.org de la

Fundación Linux (el repositorio principal de código fuente para el núcleo de Linux. No obstante, el objetivo de

esta operación no es robar recursos corporativos ni alterar el código fuente de Linux, como revelaremos a lo

largo del informe.

La complejidad de los backdoors (programas de puerta trasera) desplegados por los agentes maliciosos

demuestra que tienen un conocimiento fuera de lo común sobre sistemas operativos y programación. Además,

se tuvo un cuidado especial para asegurar la portabilidad, es decir que las diversas amenazas maliciosas

cuentan con la capacidad de ejecutarse en una amplia gama de sistemas operativos de servidores y de una

manera extremadamente furtiva.

El presente informe incluye una descripción minuciosa de nuestra investigación aún en curso sobre la

operación Windigo. Suministramos detalles de la cantidad de usuarios que resultaron víctimas y el tipo exacto

de recursos que ahora están bajo el control de la banda criminal. Lo que es más, proveemos un análisis

detallado de los tres componentes maliciosos principales de esta operación.

• Linux/Ebury: un backdoor OpenSSH utilizado para controlar los servidores y robar credenciales

• Linux/Cdorked: un backdoor HTTP utilizado para redirigir el tráfico Web. También brindamos detalles de la

infraestructura desplegada para redirigir el tráfico, incluyendo un servidor DNS modificado usado para resolver

direcciones IP arbitrarias con la etiqueta Linux/Onimiki

• Perl/Calfbot: un script en Perl utilizado para enviar spam

La operación Windigo no aprovecha ninguna vulnerabilidad nueva de los sistemas Linux o Unix. Los agentes

maliciosos explotaron las deficiencias sistémicas conocidas para crear y mantener su botnet.

Descubrimientos principales

• La operación Windigo ha estado activa desde al menos 2011



Operación Windigo



5

5


• Más de 25.000 servidores únicos se vieron comprometidos en los últimos dos años

• Los atacantes afectaron una amplia gama de sistemas operativos: Apple OS X, OpenBSD, FreeBSD, Microsoft

Windows (a través de Cygwin) y Linux, incluyendo Linux en la arquitectura ARM

• Los módulos maliciosos utilizados en la Operación Windigo se diseñaron para ser portables. Se pudo observar

que el módulo de envío de spam estuvo activo en todos los tipos de sistemas operativos, mientras que el

backdoor SSH se vio tanto en servidores Linux como en FreeBSD

• Organizaciones reconocidas, incluyendo cPanel y la Fundación Linux, resultaron víctimas de esta operación

• Windigo es responsable de enviar un promedio de 35 millones de mensajes de spam diarios

• Actualmente hay más de 700 servidores que están redirigiendo a sus visitantes a contenido malicioso

• Cada día, más de medio millón de visitantes de sitios web legítimos alojados en servidores afectados por

Windigo son redirigidos a un paquete de exploits

• La tasa de éxito del aprovechamiento de los equipos visitantes es de aproximadamente 1%

• El grupo malicioso prefiere detener la actividad maliciosa antes que ser descubierto

• La calidad de las diversas amenazas maliciosas es elevada: furtivas, portables, con cifrado sólido (claves de

sesión y códigos de un solo uso) y demuestran un conocimiento profundo del ecosistema Linux

• El backdoor HTTP es portable para httpd de Apache , Nginx y lighttpd

• La banda criminal maximiza los recursos disponibles del servidor mediante la ejecución de distintos códigos

maliciosos y actividades según el nivel de acceso que posea

• No se aprovecharon vulnerabilidades en los servidores Linux; solo se sacó provecho de las credenciales

robadas. Llegamos a la conclusión de que la autenticación por contraseña en servidores ya debería haber

quedado en el pasado.

Los apéndices del presente documento incluyen información sobre la desinfección y la prevención de estas

amenazas.



Operación Windigo



INTRODUCCIÓN

6

6

Este artículo contiene la explicación de las principales características de la Operación Windigo y hace parte del

análisis completo de todas las amenazas involucradas y que se pueden encontrar en el artículo “Operation

Windigo: The vivisection of a large Linux server-side credential stealing malware campaign”

Los Algonquinos son una de las primeras naciones de los Estados Unidos de América. En su idioma, la palabra

Windigo hace referencia a una criatura demoníaca. En muchas leyendas, el Windigo es un ser malévolo mitad

bestia que se transformó dejando su figura humana para convertirse en monstruo porque se alimentaba de

carne humana. Al igual que el Windigo, actualmente hay un agente malicioso alimentándose como un caníbal

de miles de servidores y convirtiendo recursos legítimos en una amplia infraestructura utilizada con propósitos

nefastos.

A principios de 2012, ESET comenzó a investigar un grupo de software malicioso dirigido a servidores Linux.

Desde entonces, nos percatamos de que dichos componentes en realidad estaban interconectados entre sí.

Pronto descubrimos que, de hecho, un grupo malicioso tiene el control de más de diez mil servidores.

Actualmente están utilizando dichos recursos para redirigir tráfico Web desde sitios Web legítimos a contenido

malicioso, enviar mensajes de spam y robar más credenciales de usuarios que inician la sesión en esos

servidores.

La investigación de ESET con respecto a la Operación Windigo forma parte de un esfuerzo de investigación

conjunto con CERT-Bund, la Organización Nacional Sueca de Informática (SNIC), la Organización Europea para la

Investigación Nuclear (CERN) y otras organizaciones que conforman un Grupo de trabajo a nivel internacional.

La cantidad de sistemas afectados por la Operación Windigo puede parecer pequeña al compararla con brotes

recientes de malware donde se infectan millones de equipos de escritorio. En este caso, es importante recordar

que cada sistema infectado es un servidor. Los servidores normalmente ofrecen servicios a una numerosa

cantidad de usuarios y están equipados con muchos más recursos en lo que respecta a ancho de banda,

almacenamiento y poder informático que los equipos personales normales. Un ataque de denegación de

servicio o una operación de envío de spam que use mil servidores van a ser mucho más efectivos que las

mismas operaciones efectuadas en la misma cantidad de equipos de escritorio.

En este informe presentamos información general global sobre la Operación Windigo y mostramos un análisis

de los datos que pudimos recopilar provenientes de diversas fuentes, incluyendo la captura de tráfico de

servidores de comando y control. Esta información general muestra la forma en que se conectan todos los

componentes diferentes de la operación y estima el tamaño de la misma.

Luego hacemos una descripción detallada de los tres módulos principales utilizados en la operación Windigo. El

primer módulo constituye el eje central de la operación: un backdoor OpenSSH etiquetado Linux/Ebury. Este

programa de puerta trasera se discutió por primera vez en público en el año 2011, cuando se lo llamó “Ebury”.



Operación Windigo



7

7


A continuación, examinamos el componente utilizado para redirigir el tráfico Web, y que se denomina

Linux/Cdorked. Luego analizamos Perl/Calfbot, un script en Perl utilizado para enviar mensajes de spam.

Finalmente suministramos información detallada para los administradores de sistemas sobre cómo pueden

detectar si sus sistemas fueron afectados y cómo deben desinfectar las infecciones de los diversos módulos.

Por qué estamos publicando este informe

Decidimos publicar el presente infor