6 pasos que los hackers realizan para tomar control completo de redes y servidores Linux

Un reciente reporte de ciberseguridad presenta un análisis sobre el uso de scripts shell de Linux maliciosos empleados para ocultar la actividad maliciosa durante un ciberataque. Estas técnicas se originaron durante el uso de base64 y otras técnicas de codificación comunes y actualmente son empleadas para la inhabilitación de firewalls, monitoreo de objetivos y otras tareas maliciosas.

El informe preparado por los investigadores de ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) incluye algunos detalles específicos sobre las técnicas de evasión más comunes en los scripts maliciosos para sistemas Linux. Para más información, los usuarios pueden buscar las plataformas oficiales de los investigadores.

Desinstalación de agentes de supervisión

Los agentes de monitoreo son las herramientas que regulan las actividades relacionadas con los procesos y redes actuales. Estos complementos también permiten la creación de registros, algo fundamental en la investigación de incidentes de seguridad.

Acorde a los expertos en ciberseguridad, el script malicioso encontrado por los investigadores tiene algunas labores a su cargo, incluyendo:

La desinstalación del agente de monitoreo relacionado con la nube Aegis para interrumpir el servicio Aliyun
Desinstalación de YunJing, un agente de seguridad de host de Tencent
Desinstalación del agente de administración de clientes de BCM

Desactivación de implementaciones firewall

El firewall es una de las implementaciones de seguridad más utilizadas del mundo. El script malicioso detectado permite a los actores de amenazas inhabilitar este mecanismo de seguridad, además de eliminar las reglas iptables, empleadas para administrar las reglas del firewall en los sistemas y servidores Linux.

Los hackers maliciosos también usaron comandos para deshabilitar la interrupción no enmascarable (nmi), un mecanismo de temporizador configurable que genera una interrupción en una condición y tiempo determinados. En caso de que el sistema se congele, nmi finalizaría la tarea responsable de las interrupciones, lo que los actores de amenazas querrán deshabilitar esta función mediante el comando sysctl.

Deshabilitar Linux Security Modules (LSM)

Los scripts mencionados también desactivan algunos módulos de seguridad en Linux como SElinux o Apparmor, diseñados para implementar políticas de Control de Acceso Obligatorio (MAC).

Sobre AppArmour, los expertos mencionan que esta es una función de seguridad en Linux que permite bloquear aplicaciones como Firefox con fines de seguridad. Por otra parte, SElinux es una característica de seguridad que permite a los administradores aplicar medidas específicas en ciertas aplicaciones.

Modificar Listas de Control de Acceso

Las listas de control de acceso (ACL) contienen las reglas mediante las cuales se otorgan permisos sobre archivos y utilidades. La utilidad setfacl en Linux se usa para modificar o eliminar la ACL; en el script podemos ver el uso de setfacl que establece los permisos de chmod para el usuario:

Cambio de atributos

Chattr en Linux se usa para establecer o desarmar ciertos atributos de un archivo. Los actores de amenazas usan esto para sus propios archivos caídos o para hacer que sus archivos sean inmutables y que los usuarios afectados no puedan removerlos de sus sistemas.

Renombrar utilidades comunes

Uno de los scripts maliciosos detectados en esta investigación también contenía utilidades comunes como wget o curl con diferentes nombres. Los hackers maliciosos usan estas utilidades para descargar archivos maliciosos desde un servidor bajo su control.

Para más información sobre vulnerabilidades, exploits, variantes de malware, riesgos de ciberseguridad y cursos de seguridad de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

Atul Narula

Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.

6 pasos que los hackers realizan para tomar control completo de redes y servidores Linux

Desinstalación de agentes de supervisión

Desactivación de implementaciones firewall

Deshabilitar Linux Security Modules (LSM)

Modificar Listas de Control de Acceso

Cambio de atributos

Renombrar utilidades comunes

Vulnerabilidades duales en Microsoft SharePoint Server: Pasos esenciales para mitigar

Las vulnerabilidades de alto riesgo en el arranque seguro de la mayoría de los dispositivos Linux del planeta

Los entornos en contenedores son nuevos objetivo de los Hackers a través de vulnerabilidades en runC

Hackear dispositivos Android, Linux, macOS, Windows e iOS a través de Bluetooth utilizando una única vulnerabilidad

De Tianocore a los titanes de la tecnología: los devastadores defectos de PixieFail en UEFI: ¿está en riesgo su dispositivo?

Hospitales como Rehenes:Ciberataques Dejan a los Hospitales Franceses en Caos

Hackear lo inhackable: La historia de cómo se hackearon CISA

El hack de Cloudflare: un hacker, 5000 credenciales y código de operación rojo

La Brecha en Boeing: Dentro del Robo de LockBit Ransomware

Objetivos Eternos: Después de Casio, el Grupo Seiko es hackeado nuevamente por una banda de ransomware

La pesadilla de Casio: ¡Cómo un simple error provocó una violación de datos en 149 países!

El mayor proveedor de botellas de refrescos, fabricante de plástico y reciclaje hackeado por ransomware

Google Gemini bajo fuego: vulnerabilidades de seguridad críticas que necesita conocer para hackear Gemini

Hackeando SCCM: Pentesting del System Center Configuration Manager con Misconfiguration Manager

Hackear dispositivos Android, Linux, macOS, Windows e iOS a través de Bluetooth utilizando una única vulnerabilidad

Hackear Windows 10 y 11 con secuestro de DLL Search Order sin derechos de administrador

Así hackean conexiones SSH explotando las vulnerabilidades del protocolo SSH

Nuevas vulnerabilidades de DHCP y cómo se explotan en Active Directory

Hackeando Bluetooth con MiTM: El ataque BLUFFS Bluetooth para infiltrarse en Millones de Dispositivos

Seis pasos para presentar denuncias anónimas ante el gobierno contra empresas hackeadas y obligarlas a pagar multas o tomar medidas

Dentro del Exploit: Cómo los Archivos que Subes a ChatGPT Podrían Ser Robados por una Vulnerabilidad

Esta técnica de Google Calendar permite hackear empresas sin ser detectado

Este bot de Telegram es como ChatGPT para que los estafadores para robar dinero a las víctimas

¿Qué tan fácil es bombardear el celular de alguien con miles de mensajes SMS?

¿Cómo proteger los cortafuegos Cisco Firepower Threat Defense (FTD)?

¿Cómo usar el agente de AWS SSM como puerta trasera y hackear servidores de EC2?

La nueva herramienta FraudGPT permite estafar y hackear fácilmente a las víctimas usando IA

El lado oscuro de los archivos PDF: cómo abrir un PDF simple podría desencadenar una pesadilla de ciberseguridad

El mayor proveedor de botellas de refrescos, fabricante de plástico y reciclaje hackeado por ransomware

¿Visitaste thesaurus.com en busca de sinónimos? Tienes una infección de malware Coinminer

Cómo envian malware a través de Teams, esquivando las funciones de seguridad de Teams

2 grandes empresas de hosting en la nube cierran por ransomware y pierden los datos de clientes