[FUG-BR] Mayhem — A New Malware Targets Linux and FreeBSD Web Servers

Oscar Marques oscarbm em gmail.com
Sexta Julho 25 13:25:07 BRT 2014 

Boa Patrick!

Segue uma bela analise:
http://blog.malwaremustdie.org/2014/05/elf-shared-so-dynamic-library-malware.html


Em 25 de julho de 2014 13:19, Patrick Tracanelli <
eksffa em freebsdbrasil.com.br> escreveu:

>
> >> Já viram isso?
> >>
> >>
> >>
> http://thehackernews.com/2014/07/mayhem-new-malware-targets-linux-and_24.html
> >>
> >> Tá um pouco wanabe, mas o problema relata mais sobre servidores
> >> desatualizados.  Interessante foi ver o nome do FreeBSD listado.
> >>
> >> Eu diria que é um "efeito ubuntu" chegando nos BSDs, a kuruminização dos
> >> servidores.
>
> Eu andei acompanhando e me parece que a porta de entrada são as mais
> comuns, CMs (joomla, wordpress) e outros scripts php desatualizados
> incluindo phpmyadmin e vtiger que possa gravar e executar dados em algum
> diretório. O malware tenta gravar no /tmp e depois no mesmo dir do script
> vulnerável. Onde conseguir, se auto-executa depois, e começa a usar o
> sistema pra varrer outros webservers que possam também estar vulneráveis.
>
> Ou seja apesar de reconhecer se é FreeBSD ou Linux, não tem nada de
> especial sobre o que ja acontece hoje em dia, a principal diferença é que
> os robozinhos de grupos crackers que varrem os webservers automaticamente
> acabam instalando rotinas feitas em perl, python, e até shell, que tem a
> vantagem da portabilidade. A maioria dos Linux e BSDs tem perl, python e
> /bin/sh (hehe) executáveis pra qualquer user (incluindo o que roda o
> webserver). Então não precisam testar se é FreeBSD ou Linux pra maioria das
> ações que seriam equivalentes, e só testam pra tentar exploitar vulns
> locais e tentar elevar privilégios. Tambem rodam no /tmp e ou onde
> conseguirem gravar.
>
> Então a única novidade é esse ter sido classificado malware e poder tentar
> se instalar em outros webservers sem ter um grupo cracker interessado e
> agindo explicitamente pra isso. Além de ser feito em C e não em scripts
> portáveis.
>
> Acho que é um malware legal pq baixa plugins e se auto-expande hehehe.
>
> Mas o vetor de ataque tem a mesma entrada de sempre, e o mesmo hardening
> básico de sempre, como restrições php docroot, open basedir, safe mode,
> upload_tmp_dir, flag noexec no /tmp e na estrutura www (/home,
> /usr/local/www, /var/www, etc) ja mitigariam o worm impedindo que ele fosse
> executado.
>
> Ou seja diferente do primeiro worm focado em FreeBSD da historia, o
> BSD.Scalper.Worm que na época explorava uma vulnerabilidade do Apache, esse
> não explora nenhum serviço ou nada do sistema operacional, mas sim,
> aparentemente apenas as aplicações vulneráveis. A diferença e precisar
> saber onde roda (FreeBSD ou Linux, 64bits ou 32) ja que é um binário. Se
> fosse em perl bastaria descobrir onde está o interpretador perl heheh.
>
> Então pra mim é mais do mesmo. Não vejo maiores (nem menores) riscos nem
> maior perigo do que já existia antes. E da mesma forma só vai funcionar em
> servidores negligenciados hehehe, que convenhamos é a maioria.
>
> Agora é maldade do artigo dizer que sistemas *nix não tem auto-update.
>
> Se o cidadão por no crontab dele uma rotina de update de software
> instalado, portmaster, portupgrade, apt-get, dpkg, pkg, seja la o que for e
> atualizar de hora em hora igual tele-sena, ainda assim o worm vai
> proliferar ja que o wordpress, joomla, ou php myadmin colocado manualmente
> naquele subdiretorio perdido dentro do document root do website do cara,
> não será atualizado de qualquer forma…
>
> Mesma coisa prum wordpress instalado em windows, mac, ou num android
> rootado que seja, nenhuma suite de autoupdate vai atualizar esses scripts
> em locais arbitrários.
>
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 em sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Oscar Marques
oscarbm em gmail.com
http://www.dunkelheit.com.br
@f117usbr <https://twitter.com/#%21/f117usbr>
+55 21 9293-9343

Mais detalhes sobre a lista de discussão freebsd