Shikitega: nuevo malware sigiloso dirigido a Linux

Proceso de operación de Proceso de operación de Shikitega

Shikitega que adopta una cadena de infección de varias etapas para comprometer los puntos finales y los dispositivos IoT

Hasta hace poco, en comparación con Windows, los usuarios de Linux teníamos un mito que muchos creían, que en Linux no existían virus y no era susceptible a ataques.

Sin embargo, nuevos datos muestran que las tendencias en ciberataques están cambiando. Según los datos presentados por el equipo de Atlas VPN, la cantidad de malware nuevo para Linux alcanzó un máximo histórico en la primera mitad de 2022, ya que se descubrieron casi 1,7 millones de muestras. Los investigadores dieron a conocer una nueva variedad de malware para Linux que se destaca por su sigilo y sofisticación para infectar servidores tradicionales y pequeños dispositivos de Internet de las cosas.

En comparación con el mismo período del año pasado, cuando se descubrieron 226 324 muestras, la cantidad de malware nuevo para Linux se disparó en casi un 650 %. Al observar la cantidad de nuevas muestras de malware de Linux trimestre a trimestre, en el primer trimestre de este año disminuyó un 2% de 872,165 en el cuarto trimestre de 2021 a 854,688 en el primer trimestre de 2022. En el segundo trimestre, las muestras de malware cayeron de nuevo, esta vez un 2,5%, hasta los 833.059.

Apodado Shikitega por los investigadores de AT&T Alien Labs que lo descubrieron, este malware se distribuye a través de una cadena de infección de varios pasos utilizando codificación polimórfica. También utiliza servicios en la nube legítimos para alojar servidores de comando y control. Estos elementos hacen que la detección sea extremadamente difícil.

“Los actores de amenazas continúan buscando nuevas formas de entregar malware para permanecer bajo el radar y evitar la detección”, escribió el investigador de AT&T Alien Labs, Ofer Caspi. “El malware Shikitega se entrega de una manera sofisticada, utiliza un codificador polimórfico y entrega gradualmente su carga útil donde cada paso revela solo una parte de la carga útil total. Además, el malware abusa de los servicios de alojamiento conocidos para alojar sus servidores de mando y control. »

El malware descarga y ejecuta meterpreter «Mettle» de Metasploit para maximizar su control sobre las máquinas infectadas;
Shikitega explota las vulnerabilidades del sistema para obtener privilegios elevados, persistir y ejecutar crypto miner. El malware utiliza un codificador polimórfico para que sea más difícil de detectar para los motores antivirus. Shikitega abusa de los servicios legítimos de computación en la nube para almacenar algunos de sus servidores de comando y control (C&C).

Es una implementación de código nativo de un Meterpreter, diseñado para portabilidad, capacidad de integración y bajo uso de recursos. Puede funcionar en los objetivos embebidos de Linux más pequeños hasta los más potentes, y se dirige a Android, iOS, macOS, Linux y Windows, pero se puede migrar a casi cualquier entorno compatible con POSIX.

El nuevo malware como BotenaGo y EnemyBot ilustra cómo los autores de malware están integrando rápidamente las vulnerabilidades recién descubiertas para encontrar nuevas víctimas y aumentar su alcance. Shikitega utiliza una cadena de infección de varias capas, la primera de las cuales contiene solo unos pocos cientos de bytes, y cada módulo es responsable de una tarea específica, desde descargar y ejecutar el meterpreter de Metasploit, explotar las vulnerabilidades de Linux, configurar la persistencia en la máquina infectada hasta que un cryptominer se descarga y ejecuta.

El malware es un archivo ELF muy pequeño, cuyo tamaño total es de solo unos 370 bytes, mientras que el tamaño real del código es de unos 300 bytes. El malware utiliza el codificador polimórfico XOR de retroalimentación aditiva Shikata Ga Nai, que es uno de los codificadores más populares utilizados en Metasploit. Con este codificador, el malware pasa por múltiples bucles de decodificación, donde un bucle decodifica la siguiente capa, hasta que se decodifica y ejecuta la carga útil final del código shell.

Después de varios bucles de descifrado, el código de shell de carga útil final se descifrará y ejecutará,dado que el malware no utiliza ninguna importación, utiliza int 0x80 para ejecutar la llamada al sistema adecuada. Como el código principal del dropper es muy pequeño, el malware descargará y ejecutará comandos adicionales desde su mando y control llamando al 102 syscall ( sys_socketcall ).

  1. El C&C responderá con comandos de shell adicionales para ejecutar.
  2. Los primeros bytes marcados son los comandos de shell que ejecutará el malware.
  3. El comando recibido descargará archivos adicionales del servidor que no se almacenarán en el disco duro, sino que se ejecutarán solo en la memoria.
  4. En otras versiones del malware, utiliza la llamada al sistema execve para ejecutar /bin/sh con el comando recibido del C&C.

El siguiente archivo descargado y ejecutado es un pequeño archivo ELF adicional (alrededor de 1 kB) codificado con el codificador Shikata Ga Nai. El malware descifra un comando de shell que se ejecutará llamando a syscall_execve con ‘/bin/sh’ como parámetro con el shell descifrado. El dropper de la segunda etapa descifra y ejecuta los comandos de shell. El comando de shell ejecutado descargará y ejecutará archivos adicionales. Para ejecutar el dropper de etapa siguiente y final, explotará dos vulnerabilidades en Linux para aprovechar los privilegios: CVE-2021-4034 y CVE- 2021-3493.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/go2xtje
via IFTTT

Microsoft lanzo una RC de SQL Server 2022 para Linux

microsoft-sql-server-linux

La versión de Linux ofrece la misma funcionalidad que la versión de Window

Microsoft anunció esta semana la disponibilidad de una versión candidata de SQL Server 2022 para sistemas operativos Linux seleccionados. La versión de Linux de SQL Server 2022 no solo incluye las características incluidas en SQL Server 2022 RC presentado el 23 de agosto para Windows, sino que también es compatible con varias funciones de nube relacionadas con Azure.

Las funciones incluidas incluyen Query Store para monitorear el rendimiento del sistema al capturar automáticamente el historial de consultas, los planes y las estadísticas de tiempo de ejecución. Además de las nuevas funciones agregadas en RC 0, esta versión para Linux también admite funciones como Azure Synapse Link y Azure Active Directory Authentication.

Las nuevas funciones de SQL Server 2022 incluyen:

  • Optimización de planes sensibles a parámetros
  • Mejoras en el Almacén de consultas
  • Vínculo a Instancia administrada de Azure SQL
  • Grupos de disponibilidad independientes
  • Enlace de Azure Synapse para SQL
  • Replicación de escritura múltiple
  • Autenticación de Azure Active Directory
  • Integración de Azure Purview
  • Libro mayor de SQL Server
  • Integración de almacenamiento AWS S3

Sobre la RC 0 de SQL Server 2022 para Linux

Esta RC también presenta adiciones de idioma, incluido el disco de percentil aproximado que, según Microsoft, «devuelve el valor del conjunto de valores en un grupo dado el percentil proporcionado y las especificaciones de clasificación», y Approx Percentile Cont, que «devuelve un valor interpolado aproximado del conjunto de valores d’ un grupo basado en el valor del percentil y las especificaciones de clasificación’.

Por la parte de la optimización de planes sensibles a parámetros, esta es una nueva mejora de procesamiento de consultas inteligente que está diseñada para mejorar el rendimiento de las cargas de trabajo existentes sin cambios en el código de la aplicación. Anteriormente, SQL Server almacenaba en caché un único plan por cada procedimiento almacenado. Esto se basó en un conjunto de parámetros y se denominó rastreo de parámetros.

Las mejoras en el almacén de consultas, es una función de rendimiento que ayuda a realizar un mejor seguimiento del historial de rendimiento y a solucionar problemas de plan de consultas y rendimiento. En versiones anteriores, tenía que habilitar manualmente Query Store. Con SQL Server 2022, Query Store ahora estará habilitado de forma predeterminada para las nuevas bases de datos, lo que proporciona una mejor inteligencia y conocimiento de las consultas.

Query Store ahora también será compatible con las réplicas de solo lectura del grupo de disponibilidad, lo que proporciona un mejor análisis de rendimiento para sus cargas de trabajo de solo lectura. También podrá usar las sugerencias del Almacén de consultas para dar forma a los planes de consulta y mejorar la ejecución de la consulta sin cambiar el código de la aplicación.

Con respecto a Azure, la versión Linux de SQL Server 2022 admite las siguientes funciones:

  • Azure Synapse Link: permite a los desarrolladores usar Azure Synapse Analytics para acceder fácil y directamente al almacén analítico de Azure Cosmos DB. Integration Runtime (IR) no se puede instalar en el entorno Linux, por lo que deberá ejecutar IR en una máquina Windows que esté en la misma red que la máquina Linux que ejecuta la instancia de SQL Server que conecta
  • Azure Active Directory Authentication (ADD): SQL Server en Linux ahora incluye soporte para AAD. Actualmente, los contenedores de SQL Server no admiten esta característica
  • Para grupos de disponibilidad distribuidos, el cambio REQUIRED SYNCHRONIZED SECONDARIES TO COMMIT esta apoyado.

Microsoft continúa agregando características y funciones a SQL Server para Linux y lo convierte en una parte cada vez mayor de sus servicios en la nube empresarial de Azure, lo que tiene sentido en un mundo informático acelerado y cada vez más centrado en el cliente.

Finalmente, si estás interesado en poder conocer más al respecto puedes consultar los detalles en el siguiente enlace.

Descargar y obtener SQL Server 2022 RC 0

SQL Server 2022 RC 0 ya está disponible para los sistemas operativos Red Hat Enterprise Linux (RHEL) y Ubuntu.  Para descargar las imágenes de contenedor RC 0 más recientes, debe usar las etiquetas ‘2022-latest’ para las imágenes de contenedor. SUSE Linux Enterprise Server aún no es compatible para ejecutar la vista previa de SQL Server 2022, pero sucederá con «una versión posterior».

Puedes seguir las instrucciones de instalación en el siguiente enlace.

from Linux Adictos https://ift.tt/DnvUFqC
via IFTTT

Debian 11.5 introduce 53 parches de seguridad, y llega acompañado de Debian 10.13

Debian 11.5 y 10.13

Como cada cierto tiempo, suele ser algunas semanas, Project Debian ha lanzado nuevas imágenes de instalación de su sistema operativo. La anterior fue 11.4, y ayer, también en sábado, lanzaron Debian 11.5. Esta es la quinta actualización de mantenimiento de Bullseye, e incluye los últimos parches de seguridad, paquetes actualizados y corrección de errores. Project Debian recuerda en cada uno de estos lanzamientos que no es una versión totalmente nueva del sistema operativo, por lo que los usuarios existentes no deberían plantearse realizar una instalación de cero.

Debian 11.5 incluye 53 parches de seguridad, y un total de 58 bugs corregidos en de todo un poco. Combinadas hacen 111 correcciones, a las que habría que sumarle las de los programas en sí, los que también han sido actualizados en los últimos dos meses con nuevas funciones y sus propios parches de seguridad y mantenimiento.

Debian 11.5, nuevo medio de instalación

Junto a Debian 11.5, o mejor dicho paralelamente, también se lanzó Debian 10.13, lo que es la 13ª actualización de mantenimiento de Buster. En cuanto a números, se han añadido 79 parches de seguridad y otros 79 en de todo un poco, lo que hacen un total de 158.

Esta nota de lanzamiento menciona un dato algo más importante, más allá de anunciar el lanzamiento, poner la lista de paquetes actualizados y decir que no es necesario instalar de cero. Es la última actualización que habrá para Buster, y se recomienda subir a Debian 11 tan pronto en cuanto sea posible:

Después de esta publicación puntual, los equipos de seguridad y publicación de Debian dejarán de producir actualizaciones para Debian 10. Los usuarios que deseen seguir recibiendo soporte de seguridad deben actualizarse a Debian 11, o consultar https://ift.tt/5oPIRqU para obtener detalles sobre el subconjunto de arquitecturas y paquetes cubiertos por el proyecto de soporte a largo plazo.

Debian está disponible para todo tipo de arquitecturas y en versiones GNOME, Plasma, Xfce, LXQt, LXDE, Cinnamon y Mate. Los diferentes medios de instalación están disponibles en este enlace. Teniendo en cuenta el mensaje anterior, merece la pena descargar Debian 11.5 para nuevas instalaciones. Los usuarios existentes pueden actualizar todos los paquetes con los comandos sudo apt update && sudo apt dist-upgrade.

from Linux Adictos https://ift.tt/sbj2kAR
via IFTTT