Investigación de ciberseguridad en la nube

Evolución de los binarios de Linux en las operaciones en la nube específicas

Clock Icon 9 lectura mínima
Related Products
CortexCortex CloudUnit 42 Incident Response iconUnit 42 Incident Response

Resumen ejecutivo

Los investigadores de Unit 42 han detectado una amenaza creciente para la seguridad en la nube: archivos de formato ejecutable y enlazable (ELF) de Linux que los actores de amenazas están desarrollando para atacar la infraestructura de la nube. Predecimos que los actores de amenazas que atacan entornos de nube comenzarán a utilizar herramientas más complejas en sus exploits. Esto incluirá reelaborar, mejorar y adaptar las herramientas existentes que históricamente solo se dirigían a sistemas operativos (SO) Linux. Las muestras de malware de ELF que utilizan los actores de amenazas incluyen puertas traseras, droppers, troyanos de acceso remoto (RAT), borradores de datos y binarios para explotar vulnerabilidades.

Durante nuestra investigación, nos centramos en cinco familias de malware basadas en ELF, cada una de las cuales ha sido utilizada por grupos de actores de amenaza para atacar entornos de nube durante sus operaciones. Esta implicación incluye operaciones maliciosas dirigidas a entornos de nube y la explotación directa de la infraestructura de nube utilizando estos binarios de ELF. Estas actividades sugieren que los atacantes seguirán utilizando binarios de ELF contra la infraestructura de la nube.

Analizamos cada una de las familias y descubrimos que habían tenido, al menos, dos actualizaciones de código significativas en el último año, lo que significa que los actores de amenazas las están actualizando y apoyando activamente. Además, cada una de las cepas de malware fue detectada en, al menos, 20 avistamientos únicos de muestras en entornos reales durante el último año. Esto significa que los actores de amenazas las están utilizando activamente.

Creemos que es muy probable que estas familias de malware se utilicen en futuros ataques dirigidos a entornos de nube, incluida la infraestructura.

Los clientes de Palo Alto Networks están mejor protegidos frente a las amenazas descritas en este artículo gracias a Cortex Cloud.

Si cree que su seguridad podría haber sido comprometida o si tiene un asunto urgente, póngase en contacto con el equipo de respuesta a incidentes de Unit 42.

Temas relacionados con Unit 42 Linux Malware, Machine Learning

Contexto

Nuestro reciente informe sobre amenazas en la nube mostró que las alertas basadas en la nube aumentaron un promedio de 388 % durante 2024. Además, el 45 % de las organizaciones informan un aumento de los ataques de amenazas persistentes avanzadas (APT). A medida que los actores de amenazas se dirigen a la infraestructura de la nube a un ritmo cada vez mayor, los defensores deben buscar los posibles vectores de ataque que los actores de amenazas en la nube podrían utilizar para acceder, persistir y operar. Los buscadores de amenazas podrían beneficiarse de la investigación de ejecutables maliciosos que puedan utilizarse contra endpoints en la nube.

En este artículo, se exploran los tipos de binarios maliciosos que los actores de amenazas están desarrollando para utilizarlos en ataques contra entornos basados en Linux. Los archivos ELF son un formato de archivo estándar común para archivos ejecutables dentro de los sistemas operativos (SO) Linux. Los investigadores estiman que entre el 70 % y el 90 % de todas las instancias informáticas en entornos de nube se basan en variantes (también conocidas como distribuciones) del sistema operativo Linux. Aunque el malware basado en ELF no es nuevo, es probable que estas familias de malware y los tipos de técnicas de ataque que usan evolucionen hacia el ataque a la infraestructura de la nube.

Evolución de los binarios de ELF

Las familias de malware de Linux más conocidas pueden evolucionar para atacar activamente los recursos de la nube. Los atacantes pueden adaptar e implementar estas familias en cargas de trabajo en la nube y entornos de contenedores con relativa facilidad debido a la ubicuidad de las instancias del SO Linux en el entorno de nube estándar.

Nuestros investigadores señalaron ejemplos de cepas en evolución de malware basado en ELF, como NoodleRAT, Winnti, SSHdInjector, Pygmy Goat y AcidPour. Estos binarios de ELF utilizan técnicas como el secuestro dinámico del enlazador, en el que abusan de la variable de entorno LD_PRELOAD para realizar lo siguiente:

  • Inyectar código malicioso en procesos legítimos del sistema
  • Engancharse a servicios críticos de Linux, como el demonio SSH (sshd)
  • Explotar vulnerabilidades o errores de configuración encontrados en la infraestructura de contenedores

Esto permite a los actores de amenazas lograr persistencia, mantener canales de mando y control (C2) sigilosos, exfiltrar datos de forma encubierta y afectar las operaciones al borrar datos críticos.

NoodleRAT

Este malware permite a los actores de amenazas realizar operaciones C2 en un endpoint objetivo, incluido lo siguiente:

  • Acceso mediante shell inverso
  • Túnel proxy SOCKS
  • Cifrado de las comunicaciones
  • Ejecución programada de código
  • Carga y descarga de archivos
  • Suplantación del nombre del proceso

NoodleRAT tiene variantes para Windows y Linux. La variante para Linux es una puerta trasera basada en ELF. Aunque el código de NoodleRAT para Linux guarda similitudes con otros malware de puerta trasera de Linux, incluidos Rekoobe y Tiny SHell, NoodleRAT se considera su propia familia de malware.

NoodleRAT se ha observado en intrusiones tanto de ciberdelincuentes como de ciberespionaje, incluso de actores de amenazas chinos como Rocke, y presuntos agentes de un Estado-nación asociados a la campaña Cloud Snooper. Los actores detrás de la variante de NoodleRAT para Linux han atacado a entidades de varios países de la región Asia-Pacífico, como Tailandia, India, Japón, Malasia y Taiwán.

Winnti

Winnti tiene versiones para Windows y Linux. Este malware logra su persistencia mediante el abuso de la variable de entorno LD_PRELOAD, lo que le permite cargarse en la memoria sin alterar ningún binario legítimo del sistema.

La puerta trasera tiene la siguiente funcionalidad:

  • Capacidad de ejecución remota de comandos
  • Activación de la exfiltración de archivos
  • Soporte de proxy SOCKS5 para facilitar la comunicación C2

El malware de la variante de Winnti para Linux es una puerta trasera supuestamente utilizada por varios actores de amenazas con conexiones con China, incluidos los que rastreamos como Starchy Taurus (alias Winnti Group y BARIUM) y Nuclear Taurus (alias Tumbleweed Typhoon, THORIUM, Bronze Vapor). La puerta trasera consta de dos archivos: un ejecutable ELF primario (libxselinux) y una biblioteca dinámica adicional (libxselinux.so).

SSHdInjector

Esta puerta trasera SSH de Linux inyecta código malicioso en el demonio SSH (sshd) en tiempo de ejecución. El código inyectado otorga al actor de amenazas acceso persistente y facilita actividades maliciosas como las siguientes:

  • Robo de credenciales
  • Ejecución remota de comandos
  • Entrada de malware
  • Acceso a archivos y directorios
  • Apertura de un shell remoto
  • Exfiltración de datos

Se ha observado a SSHdInjector siendo utilizado por varios actores de amenazas con conexiones con China, incluido uno que rastreamos como Digging Taurus (alias Daggerfly, Evasive Panda). Los objetivos están relacionados con el ciberespionaje y han incluido individuos, instituciones gubernamentales y organizaciones de telecomunicaciones.

Pygmy Goat

Pygmy Goat es una puerta trasera de Linux que fue descubierto en los dispositivos firewall Sophos XG, pero está diseñado para atacar otros sistemas basados en Linux. El malware obtiene acceso inicial y persistencia mediante la funcionalidad de rootkit al aprovechar el archivo de biblioteca libsophos.so, que es vulnerable a la omisión de autenticación (CVE-2022-1040).

A continuación, el ejecutable se inyecta en el demonio SSH (sshd) utilizando la variable de entorno LD_PRELOAD en el dispositivo objetivo e intercepta las comunicaciones SSH. El actor de amenazas puede iniciar comunicaciones con el malware al enviar paquetes ICMP especialmente diseñados, una técnica conocida como “golpeo de puertos”, o al enviar una serie de bytes mágicos incrustados en el tráfico SSH.

Sus capacidades incluyen lo siguiente:

  • Establecimiento de shells remotos
  • Captura de paquetes de red
  • Creación de trabajos cron
  • Túneles a través de un proxy SOCKS5 inverso

Entre los objetivos señalados figuran organismos gubernamentales y proveedores, organizaciones no gubernamentales (ONG) y entidades del sector sanitario y del transporte en la región de Asia-Pacífico.

Acid Pour/AcidRain

Las variantes AcidRain y la más reciente AcidPour son cepas de malware limpiador destructivo para Linux vinculadas al actor de amenazas ruso Razing Ursa (alias Sandworm, Voodoo Bear). AcidRain es un binario de ELF dirigido a módems y enrutadores basados en la arquitectura MIPS.

AcidPour es un binario de ELF similar, pero compilado para x86. Puede afectar a una gama más amplia de objetivos, como matrices de almacenamiento basadas en x86 de Linux, dispositivos de red y sistemas de control industrial.

Ambos limpiadores utilizan controles de entrada/salida (IOCTL) para efectuar la destrucción de datos y luego se autoeliminan para evadir la defensa. AcidPour o una nueva variante de este binario sería eficaz para borrar sistemas en la nube basados en x86 desprotegidos si un actor de amenazas obtuviera acceso shell, por ejemplo, a través de una implementación web shell exitosa o un escape de contenedor.

Hemos observado nuevos valores hash de estas familias de malware en los meses anteriores a este informe. A medida que las organizaciones continúen migrando a la nube, los actores de amenazas seguirán desarrollando estas familias de malware y dirigiéndose hacia entornos de tiempo de ejecución en la nube. Esto destaca la necesidad de mejorar las capacidades de seguridad de detección y prevención en las cargas de trabajo en la nube y los contenedores.

Conclusión

Las alertas basadas en la nube aumentaron un promedio de 388 % durante el año 2024. Predecimos que los actores de amenazas dirigidas a entornos de nube comenzarán a utilizar herramientas más complejas en sus ataques. Esto incluye reelaborar, mejorar y adaptar las herramientas existentes que históricamente solo se dirigían a sistemas operativos (SO) Linux.

Teniendo en cuenta las estimaciones citadas de que hasta el 90 % de los entornos de nube funcionan con instancias de computación Linux, el siguiente paso lógico sería que los actores de amenazas utilicen estas familias de malware contra los entornos de nube.

Es más importante que nunca implantar agentes de seguridad de endpoint en las instancias de computación en la nube para garantizar que se detecta todo el procesamiento malicioso en tiempo de ejecución, el tráfico de red y las operaciones de comportamiento sospechosas. Los modernos agentes de endpoints en la nube pueden detectar estas familias de malware. La introducción del aprendizaje automático en la detección de endpoints es un avance significativo en la seguridad en la nube.

Protección y mitigación de Palo Alto Networks

Recomendamos un enfoque de detección de aprendizaje automático para marcar los binarios. Un planteamiento evolutivo debe tener en cuenta factores como los siguientes:

  • Llamadas al sistema en modo kernel
  • Funciones de importación
  • Técnicas de evasión
  • Tráfico de red
  • Patrones binarios desconocidos

La Figura 1 muestra un binario de ELF previamente desconocido que activó la alerta de aprendizaje automático de Cortex.

Captura de pantalla de Cortex XDR mostrando un flujo de ejecución. En la parte superior, hay varios íconos que representan una cadena de acontecimientos. En la parte inferior, hay una tabla que explica los distintos procesos. Entre ellos se incluyen el Recurso, la Categoría, la Acción, el Nombre de la alerta y más.
Figura 1. Alerta de ejecución de ELF mediante aprendizaje automático en Cortex Cloud.

Detecciones de ELF mediante aprendizaje automático

Cortex Cloud de Palo Alto Networks ha desarrollado un nuevo módulo de aprendizaje automático específico para detectar archivos ELF de Linux. Los investigadores de Cortex realizaron pruebas con más de 100 binarios de ELF únicos de las cinco familias de malware analizadas en este artículo. Todas las familias de malware se detectaron correctamente y el 92 % de las muestras se marcaron como maliciosas.

El 8 % restante contenía bibliotecas compartidas (.so) de Linux que estaban fuera del alcance del modelo utilizado.

Los archivos detectados cumplían los siguientes criterios de prueba:

  • Malicioso
  • Sospechoso
  • Benigno

Las muestras que recibieron una puntuación de 0,85 o más se clasifican como maliciosas, los resultados entre 0,84 y 0,65 se consideran sospechosos y cualquier resultado inferior a 0,64 se considera benigno.

La Figura 2 muestra que el 61 % de las muestras analizadas obtuvieron resultados superiores a 0,85 y se consideraron maliciosas.

Gráfico circular de las puntuaciones de las pruebas de aprendizaje automático que muestra la distribución como: 61,5 % malicioso, 30,8 % sospechoso y 7,7 % benigno.
Figura 2. Las puntuaciones de las pruebas de aprendizaje automático de ELF por porcentaje: benigno, sospechoso o malicioso.

El 92,3 % de todas las muestras presentadas superaron el umbral de sospecha de 0,65. Esto demuestra que todas menos el 7,7 % de las muestras proporcionadas se consideran sospechosas y activarían una alerta si se ejecutaran en el entorno.

Detecciones de aprendizaje automático de PowerShell y VBS

También utilizamos el módulo de aprendizaje automático de PowerShell y VBS de Cortex para investigar la detección de operaciones específicas de la nube. Enviamos más de 100 scripts de Visual Basic (VBS) y PowerShell al modelo ML. Estos scripts se eligieron a mano como scripts maliciosos que realizaban las siguientes actividades:

  • Descubrimiento y creación de recursos en la nube
  • Eliminación y exfiltración de objetos del contenedor de almacenamiento
  • Operaciones de acceso y gestión de identidades (IAM)

La Figura 3 muestra que el 67 % de estos scripts se identificaron con éxito como maliciosos o sospechosos. En particular, casi el 96 % de las muestras maliciosas recibieron una puntuación de 0,95 o más.

Gráfico circular de las puntuaciones de las pruebas de aprendizaje automático de PowerShell y VBS como: 56,8 % malicioso (>95 %), 33,0 % benigno, 8,0 % sospechoso y 2,3 % malicioso.
Figura 3. Puntuaciones de las pruebas de aprendizaje automático de PowerShell y VBS por porcentaje: benigno, sospechoso o malicioso.

Cortex Cloud

Los defensores pueden obtener información valiosa mediante la búsqueda de amenazas para ejecuciones de malware de ELF comunes en endpoints en la nube. Esto puede hacerse mediante la detección y respuesta en la nube (CDR), que es una solución de seguridad en la nube que combina lo siguiente:

  • Capacidades de detección y respuesta a endpoints (EDR)
  • Detección y prevención de procesos ejecutables que se ejecutan en endpoints en la nube
  • Capacidades de auditoría y registro inherentes a la plataforma de servicios en la nube

Los clientes de Palo Alto Networks están mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos:

  • Módulo de detección de ELF mediante aprendizaje automático en Cortex
  • Módulo de detección de PowerShell y VBS mediante aprendizaje automático en Cortex

Si cree que su seguridad puede haber sido comprometida o si tiene un asunto urgente, póngase en contacto con el equipo de respuesta a incidentes de Unit 42 o llame a los siguientes números:

  • América del Norte: Llamada gratuita: +1 (866) 486-4842 (866.4.UNIT42)
  • REINO UNIDO: +44.20.3743.3660
  • Europa y Oriente Medio: +31.20.299.3130
  • Asia: +65.6983.8730
  • Japón: +81.50.1790.0200
  • Australia: +61.2.4062.7950
  • India: 00080005045107

Palo Alto Networks compartió estos resultados con nuestros compañeros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar rápidamente protecciones para sus clientes y desbaratar sistemáticamente a los ciberactores malintencionados. Obtenga más información sobre Cyber Threat Alliance.

Recursos adicionales

Se recurrió a varias fuentes para apoyar y orientar esta investigación:

 

Etiquetas

ÍNDICE

Artículos relacionados

Relacionados Recursos

Pictorial representation of Iranian-backed threat groups and hacktivists. Digital illustration of a global network featuring interconnected lines and dots, suggesting a data-driven representation of worldwide connectivity, with a focus on technology and innovation. The image uses blue tones with red and light blue highlights.
Grupos de actores de amenazas

Resumen sobre amenazas: aumento del riesgo cibernético relacionado con Irán (Actualizado el 30 de junio)
Leer ahora Right arrow
Pictorial illustration of cybercriminals. Illustration of a computer chip with a warning message "Network Hacked" displayed in a bright red alert triangle, surrounded by intricate digital elements and glowing lines, signifying a cybersecurity breach.
Investigación de amenazas

Los ciberdelincuentes abusan de las herramientas de código abierto para atacar el sector financiero africano
Leer ahora Right arrow
Pictorial representation of LLM content filtering efficacy. Two professionals working intently at computers in a modern office with digital graphs overlaying the image.
Investigación de amenazas

¿En qué medida son buenas las barreras de protección de los LLM del mercado? Estudio comparativo sobre la eficacia del filtrado de contenidos LLM en las principales plataformas de GenAI
Leer ahora Right arrow
Pictorial representation of serverless tokens in the cloud. East Asian woman examining data on multiple screens in a high-tech environment, surrounded by digital graphics and code.
Investigación de amenazas

Tokens de autenticación de funciones sin servidor en la nube: explotación y detección
Leer ahora Right arrow
Pictorial representation of AWS Roles Anywhere. Futuristic cityscape with glowing orange and blue structures, elevated clouds, and illuminated, scattered points representing lights or data points.
Investigación de amenazas

¿Roles aquí? ¿Roles allí? ¡Roles en todas partes! Explorando la seguridad de AWS IAM Roles Anywhere
Leer ahora Right arrow
Pictorial representation of Muddled Libra (Scattered Spider). Illustration of a zodiac symbol Libra represented by scales, set against a cosmic purple background with stars.
Amenazas sofisticadas

Evaluación del grupo de amenazas: Muddled Libra (Actualizado el 16 de mayo de 2025)
Leer ahora Right arrow
Pictorial representation of APT Slow Pisces. The silhouette of two fish and the Pisces constellation inside an orange abstract planet. Background of stars and swirling purple and blue colors.
Grupos de actores de amenazas

Slow Pisces se dirige a los desarrolladores con retos de código y presenta un nuevo malware a medida en Python
Leer ahora Right arrow
Pictorial representation of cloud alert trends. Digital illustration of a glowing cloud composed of binary code, surrounded by dynamic red and blue light streaks, symbolizing cloud computing technology.
Investigación de amenazas

Aumentan las Amenazas en la Nube: las Tendencias de las Alertas Muestran un Mayor Enfoque de los Atacantes en la IAM y la Exfiltración
Leer ahora Right arrow
Enlarged Image

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas

Default Heading

Read the article Right Arrow