Research about Malware for Linux. This presentation was made for the Guatemalan ExploitSec Security Conference November 2011. This presentation is based on the research "Seguridad (GNU) Linux: malware, vulnerrabilidades, protección y otros recursos" that got the second price at Latin American Level for the contest "AV Security" sponsored by ESET Latinoamerica. Enjoy!

6. permite la administración remota de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un usuario no autorizado.

7. Suelen servir para instalar gusanos, spyware sin/con consentimiento del usuario (licencias).

9. Muestran publicidad no deseada.

11. Provee acceso remoto a malechores

12. Pueden ser instaladas a través de otro malware (virus, gusano).

13. Acceso para permanecer ocultos y ejecutar X comandos.

15. Modifican el sistema operativo para que el malware permanezca oculto al usuario, a nivel de procesos/rutinas.

16. Puede contener capacidades que impiden la eliminación del código malicioso.

17. Ejemplo 2 procesos-fantasmas: deben detectar que el otro ha sido terminado e iniciar una nueva instancia en cuestión de milisegundos. Deben matarse ambos procesos simultáneamente.

19. Spam, DoS.

20. Mantienen el anonimato.

21. Primer Virus – sobre Unix

22. Estadísticas de SO - Escritorio Fuente: http://marketshare.hitslink.com Noviembre 2011

25. Alianzas estratégicas (monopolio?!)

26. Drivers

27. ¿Y en Servidores?

28. Estadística SO – Servidores (supercomputadoras!) Fuente: www.top500.com Noviembre 2011

29. Status Quo del Malware Fuente: viruslist.com, 2009

32. Malware Linux: archivos ELF

33. Malware Linux: archivos ELF Método Silvio Cesare

35. Necesitamos privilegios de root .

37. Año 2009

38. Gnome-look.org

39. Malware Linux: waterfall.deb Waterfall.deb ( infected ) Instalar/Ejecutar como root Sistema Infectado!

41. Auto.sh se ejecuta con privilegios de root

42. Crea archivo gnome.sh en /etc/profile.d

43. gnome.sh contiene código que permite enviar grandes paquetes de datos a un servidor remoto.

44. Con ésto se permite la participación de la computadora para un ataque DoS.

48. Deposita un ELF en el sistema infectado que obtiene contraseña root por medio de fuerza bruta, creando un usuario fantasma con privilegios de root.

49. Una vez dentro del router, se conecta a un canal IRC donde descarga versiones actualizadas de sí mismo.

50. Luego, el atacante puede ejecutar varios comandos maliciosos.

51. Verifica modelo/version de router para aprovecharse de vulnerabilidades.

57. Tripwire

58. Rpm --verify

60. Pueden ser defectos severos que podrían resultar en brechas de seguridad.

61. De un análisis de 5.7 mi de líneas de código, se encuentra un promedio de 0.17 fallos por cada 1000 líneas de código.

62. Software propietario tiene un promedio de 20/30 por cada 1000 líneas.

63. Modelo de desarrollo Open Source detecta y resuelve bugs más rápido. Fuente: Coverity Scan: Open Source Integrity Report

65. Se activa cuando el usuario ingresa determinados caracteres.

66. Abre un socket en el puerto 6200 y el atacante podría ingresar tecleando simplemente el caracter ingresado previamente.

67. Flash player (ajeno a vsftp).

69. No pecar, sensación de falsa seguridad.

70. Tipo de target Linux a nivel de servidor y escritorio.

71. Debe haber seguridad, física, lógica y a nivel de usuario.

72. Iptables, SELinux, Grsecurity, Bastille Linux, AV.

73. Nunca terminamos un proyecto de seguridad.

74. Todo es relativo según la tendencia...

79. Http://adario.antigualug.org