Provavelmente, a própria palavra “Linux” já evoque imagens de segurança quase impenetráveis. No entanto, os sistemas de computador baseados em Linux e os aplicativos executados neles são cada vez mais direcionados por atacantes. De fato, nos últimos anos, foram descobertas várias campanhas maliciosas que afetam os sistemas Linux, incluindo botnets formadas por milhares de servidores Linux. Estas ameaças desafiaram a crença generalizada de que o Linux é mais ou menos seguro contra problemas que afetam outros sistemas operacionais, como o Windows.
Infelizmente, muitos administradores de sistemas Linux não possuem o conhecimento necessário para combater as ameaças que suas infraestruturas enfrentam. Para ajudar a mudar isso, Marc-Etienne irá ministrar um workshop na próxima Conferência RSA 2020, intitulada Hunting Linux Malware for Fun and Flags, proporcionando aos profissionais de TI uma excelente oportunidade para lidar com malware para Linux em um ambiente controlado.
Confira uma entrevista realizada com Marc-Etienne sobre a segurança no Linux.
Você passou anos procurando por malware que se infiltra em servidores baseados em Linux. É possível apresentar uma visão geral sobre o cenário atual de malware direcionado ao Linux?
O cenário de malware para Linux até 2020 é bastante semelhante ao que vimos nos últimos anos. Sabemos que o Ebury, backdoor do OpenSSH usado na Operação Windigo, ainda está sendo atualizado e usado ativamente. Novas amostras foram vistas durante o último mês. Alguns anos atrás, também houve um aumento no malware para Linux, direcionado principalmente a roteadores e outros periféricos baseados em Linux, por exemplo, Mirai e todas as suas variantes, além do Moosse. Ultimamente, ouvimos menos sobre essas ameaças e espero que seja porque os provedores de serviços de Internet (ISP) e os fornecedores fizeram um trabalho bem melhor na proteção desses dispositivos e estão evitando expor o acesso ao gerenciamento remoto com senhas padrão.
Ainda precisamos encontrar uma campanha tão sofisticada quanto a Operação Windigo, que documentamos há mais de cinco anos. Mas isso não significa que não haja. Talvez os atacantes estejam fazendo coisas melhores para “ficar longe do radar”.
Quais são as principais ameaças que os servidores Linux enfrentam?
As ameaças dependem principalmente dos serviços fornecidos pelos servidores. Por exemplo, se um site popular for comprometido, ele poderá ser usado para redirecionar o tráfego, realizar um ataque de watering hole para comprometer quem visita a página ou roubar dados dos formulários enviados. Também estamos observando muitos spams sendo enviados por servidores que parecem estar comprometidos. Algo que estamos vendo mais do que alguns anos atrás é a propagação de mineradores de criptomoedas. É uma maneira simples de monetizar uma botnet Linux sem interferir muito nos serviços de host legítimo.
O que mudou desde a sua primeira análise de malware no Linux?
Estamos vendo mais grupos realizando ataques direcionados que incluem malware para Linux em seu arsenal. Isso vai além das campanhas usuais de crimeware que estávamos observando. Por exemplo, foi descoberto no ano passado que o Grupo Winnti, conhecido por suas campanhas de espionagem e financeiras, possui variantes Linux de seus backdoors. Isso foi revelado pela Kaspersky durante o SAS e analisado pela Chronicle algumas semanas depois. Outros bons exemplos são o Xagent, o backdoor multiplataforma do grupo Sednit, e o Kamino, um backdoor OpenSSH usado por Carbanak.
Algumas das campanhas que você ajudou a descobrir permaneceram fora do radar por anos. Por quê? Você acha que isso também pode estar mudando?
É difícil dizer se há mais campanhas sob o radar, porque ainda não conhecemos o que é desconhecido. O que quero dizer é que é muito provável que existam várias botnets Linux por aí ainda não documentadas. Quantas? Mais ou menos do que antes? Essas são perguntas difíceis de responder sem métricas.
Como a falta de telemetria em relação ao malware Linux dificulta seu trabalho?
Apenas uma pequena porcentagem de usuários instala produtos de segurança em sistemas Linux. Isso significa que é difícil determinar a prevalência de uma ameaça para Linux: os números são baixos porque o tamanho das amostras é pequeno ou porque essa ameaça é incomum? Esse problema não é específico do fornecedor: existe uma tendência geral de tratar os sistemas Linux de maneira diferente, às vezes por boas razões, mas acho que na maioria das vezes por péssimas razões.
Sempre que um novo malware direcionado ao Linux é descoberto, os usuários do Linux parecem surpresos e tendem a negar o problema. Você acha que o Linux é mais seguro que os outros sistemas operacionais?
Muitas pessoas pensam no Linux como um sistema operacional com segurança superior em comparação com todos os outros. Em 2020, não acho que isso seja algo que possamos afirmar. Tanto a Microsoft quanto a Apple se esforçaram muito para proteger suas plataformas. Por exemplo, assinaturas de código incorporadas em arquivos executáveis e imposição de assinaturas válidas para as principais funcionalidades do sistema e do driver de dispositivo é algo que está disponível no Windows e no macOS há anos, enquanto no Linux não está tão estendido. Não estou dizendo que o Linux seja inseguro, mas, como as outras plataformas, tem seus pontos fortes e fracos e certamente não deve ser considerado à prova de balas.
Existe algo que diferencia os malwares baseados no Linux dos códigos maliciosos direcionados a outros sistemas operacionais? Algo que se destaque em termos de ofuscação, blindagem, persistência...?
Comparado ao malware para Windows, o malware direcionado ao Linux tende a ser menos ofuscado e mais fácil de analisar. A ofuscação é frequentemente adicionada para evitar a detecção por produtos de segurança. Como muitas vezes não há produtos de segurança para contornar, os atacantes pulam essa etapa desnecessária. Não estou dizendo que todo malware para Linux seja fácil de analisar e nenhum seja ofuscado; estou dizendo que este é o cenário mais comum.
Quando um servidor Linux é comprometido, a persistência de um malware não é algo tão problemática quanto em outros sistemas. Os servidores tendem a ter tempos de atividade muito altos e as reinicializações são muito menos frequentes do que nos computadores desktop ou laptop. Como resultado, em geral, os malwares para Linux tendem a não ter mecanismos de persistência.
Quais são os vetores de ataque mais comuns para comprometer os servidores Linux?
Eu acho que as vulnerabilidades nos aplicativos web continuam sendo um dos vetores de ataque mais comuns para comprometer os servidores Linux. No entanto, vimos vulnerabilidades sendo divulgadas nos últimos anos em serviços bem populares, como o servidor de e-mail Exim (CVE-2019-10149). A exploração dessa vulnerabilidade foi bastante fácil e vimos várias tentativas de usá-la para propagar malware logo após a divulgação da mesma.
Quais são as melhores maneiras de evitar essas infiltrações?
Sei que destacar isso pode parecer um “disco quebrado”... mas manter o software atualizado ainda é uma das principais recomendações. Para servidores de produção que executam uma distribuição Linux com suporte a longo prazo, é preferível ter patches de segurança disponíveis sem precisar atualizar o sistema operacional completo e arriscar interromper os serviços de produção.
A ativação da autenticação de dois fatores (2FA) no SSH também é uma excelente dica, especialmente se o sistema estiver acessível pela Internet. O 2FA protegerá o servidor se as credenciais forem roubadas ou reutilizadas.
Para evitar a alternância de um serviço para outro, isolar serviços também é uma boa prática. Por exemplo, hospedar um blog não mantido no mesmo sistema de um site em que as transações financeiras são processadas representa um risco, pois comprometer o blog pode resultar no comprometimento do site transacional.
Há cinco anos, você disse que a falta de conhecimento forense sobre o Linux era o principal problema dos administradores de sistemas. Isso mudou?
Acho que isso ainda é um problema, mas a causa raiz disso também é a falta de tempo alocado para proteger sistemas, em comparação com o desenvolvimento de novos. Da mesma forma, o esforço despendido no treinamento da equipe interna sobre segurança é geralmente mínimo. Não é novidade que a segurança seja vista frequentemente como uma despesa. Este não é um problema específico do Linux. No entanto, essa despesa de repente pareceria valer a pena caso ocorra um incidente.
Agora, vamos voltar nossa atenção para o seu próximo workshop na RSA. Você poderia comentar sobre quais serão as suas atividades neste encontro?
Esta será a minha primeira vez na RSA. Espero apresentar algum conteúdo técnico interessante lá na forma de um workshop prático e uma apresentação na quinta-feira durante o evento.
O workshop estará aberto durante toda a semana da RSA e requer apenas um computador com um navegador web, o cliente OpenVPN e um cliente SSH. A ideia é criar uma situação real: o servidor é comprometido ativamente usando um serviço vulnerável, o malware se comunica com um servidor C&C, etc. Venha nos visitar no stand da ESET para obter acesso ao workshop.
Minha apresentação resumirá várias ferramentas Linux normalmente disponíveis para investigar uma brecha. É importante entender quais dados e metadados estão disponíveis e como consultá-los e analisá-los. Explicarei como essas ferramentas foram úteis em incidentes reais em que trabalhamos.
Obrigado, Marc-Etienne!