Linux

Amenazas de malware para Linux

El auge del malware para Linux

Sin lugar a dudas, Linux es conocido por sus robustas características de seguridad. Pero como acostumbra a suceder con todo lo relacionado con la tecnología, era solo cuestión de tiempo que los delincuentes se fijaran en el sistema operativo del pingüino.

Eso se debe a varios motivos:

  • La infraestructura en la nube, los clústeres de Kubernetes, las plataformas de virtualización, las canalizaciones de CI/CD, las aplicaciones empresariales y los entornos de alojamiento web dependen en gran medida de los sistemas Linux.
  • Muchos dispositivos IoT utilizan sistemas operativos basados ​​en Linux. Los más económicos presentan una seguridad deficiente, lo que los convierte en un objetivo atractivo.
  • También existen distribuciones como Ubuntu o Linux Mint, que se han vuelto bastante populares gracias a su facilidad de uso.

Más allá de la ingeniería social de la que no se libra ni el apuntador también hay malware específico para Linux

Hace unos cuantos años, los villanos se centraban principalmente en ataques básicos a servidores web basados en Linux o a implementar malware de forma oportunista.

Pero ahora los ataques son mucho más especializados.

Últimamente, se ha detectado un poderoso troyano llamado QLNX que junto a sus capacidades de acceso remoto, combina la persistencia, el registro de teclas y el robo de credenciales.

  • Se ejecuta directamente desde la memoria para evitar la detección y evita dejar rastros en el disco.
  • Falsifica su nombre en el administrador de procesos del sistema.
  • Oculta su actividad utilizando eBPF: una tecnología con origen en el kernel de Linux que puede ejecutar programas de forma aislada en un contexto privilegiado.

QLNX se comunica con los perpetradores a través de canales cifrados y admite una amplia gama de comandos:

  • El acceso remoto a shell: básicamente los servicios del sistema operativo.
  • La «administración» de archivos.
  • La inyección de código.
  • Capturas de pantalla.
  • Registro de teclas.

El malware también incluye varios métodos de persistencia, lo que le permite sobrevivir a los reinicios y mantener el acceso a largo plazo a los sistemas Linux infectados. 

Este insidioso RAT es solamente un ejemplo del auge del malware para Linux. Obviamente, existen otras formas de comprometer este sistema operativo.

¿Qué podemos hacer para mantener nuestra distribución de Linux a salvo del software malicioso?

Igual que con Microsoft Windows, lo primero y fundamental es tener actualizado el sistema operativo.

Las actualizaciones de seguridad críticas (aquellas que abordan vulnerabilidades explotadas activamente) deben instalarse lo antes posible.

  • Las copias de seguridad regulares son otra forma de protección: si algo se corrompe o se esfuma pueden sacarnos de un apuro.
  • Instalar solo aplicaciones desde los gestores de software de cada distribución: cada paquete se verifica antes de salir al medio silvestre.
  • Utilizar una contraseña segura. No solo sirve para iniciar sesión: también es necesaria para instalar actualizaciones, aplicaciones y realizar tareas de administración. 
  • Algunas distribuciones de Linux se instalan sin que el firewall esté habilitado. Compruébalo. Si se encuentra apagado actívalo.
  • Olvídate de root y usa sudo para las tareas de administración del sistema.
  • Ten cuidado a la hora de copiar y pegar comandos en el terminal obtenidos de foros y páginas web.

Conclusión

Si bien Linux se ha mantenido alejado del malware durante años, el panorama reciente de ataques resalta la necesidad de estar alerta.

  • El acceso administrativo (root) impide que se produzcan cambios no autorizados en el sistema.
  • Las herramientas de código abierto, como SELinux y AppArmor, implementan políticas de seguridad estrictas para las interacciones entre aplicaciones.
  • Linux aísla los recursos del sistema para diferentes procesos, lo que mejora la seguridad.

Por su parte Secure Boot, un estándar de seguridad desarrollado por el Foro de Interfaz de Firmware Extensible Unificado (UEFI) evita que el software no autorizado se ejecute durante el proceso de arranque.

Aunque lamentablemente, no todas las distribuciones lo admiten.

Pero, las credenciales débiles el desconocimiento del sistema y los servicios mal configurados, son relativamente fáciles de explotar por parte de los atacantes.

Por otro lado, los exploits del kernel y los módulos inseguros, pueden otorgar a un ciberdelincuente el control del sistema.

Por lo tanto, conocer bien la distribución que estamos utilizando, aplicar los parches lo antes posible y una política de autenticación robusta, son medidas preventivas para reducir la posibilidad de ser víctimas de una infección por malware.

Contenido relacionado

Información

Infosegur.net 

Licencia de Creative Commons 4.0

Made in Humans

Artículos actualizados

Temas

Privacidad Amenazas Seguridad informática Estafas Windows Internet Ingeniería social Malware Contraseñas Teléfonos móviles Herramientas Software malicioso Inteligencia artificial Redes Linux Seguridad de sitios web VPN Redes sociales Software de código abierto Seguridad de Linux Vulnerabilidades Android Correo electrónico