WolfsBane malware

Le he preguntado a TGPT, las medidas para protegerse de este malware y me ha respodido con estas medidas, que en sí estan bastante bien, pero no encuentro nada concreto que pueda usar, que haga el trabajo más simple, ¿saben si hay algo desarrollado como una aplicación más especifica?.

Es por curiosidad y por tener una solución más efectiva.

Algunas medidas recomendadas para protegerse del malware WolfsBane en sistemas Linux:

Actualizar el sistema y aplicaciones

  • Mantener el sistema operativo y todas las aplicaciones actualizadas con los últimos parches de seguridad.
  • Habilitar la automatización de actualizaciones para asegurarse de que se instalen las correcciones de seguridad de forma oportuna.

Implementar controles de acceso

  • Limitar los privilegios de usuario, especialmente para cuentas no administrativas.
  • Configurar el uso de SELinux o AppArmor para restringir las capacidades de los procesos.
  • Implementar el principio de menor privilegio en la ejecución de scripts y aplicaciones.

Monitoreo y detección

  • Instalar herramientas detección de intrusos (IDS/IPS) específicas para Linux.
  • Configurar alertas de sistema para detectar actividades sospechosas.
  • Utilizar logros de eventos centralizados para analizar patrones anormales.

Proteger contra exploits

  • Mantener el sistema actualizado con los últimos parches de seguridad.
  • Implementar controles de acceso e integridad del sistema.
  • Usar herramientas como ClamAV o ESET NOD32 Antivirus para escaneo de malware.

Proteger el acceso remoto

  • Limitar las puertas de entrada remotas al mínimo necesario.
  • Usar SSH con autenticación de dos factores cuando sea posible.
  • Monitorear las conexiones entrantes y salientes.

Educación y concienca

  • Capacitar a los usuarios sobre las prácticas de seguridad básicas.
  • Realizar ejercicios de ciberseguridad periódicamente.
  • Establecer políticas claras sobre el uso de dispositivos personales en el entorno laboral.

Respuesta a incidentes

  • Desarrollar un plan de respuesta a incidentes de ciberseguridad.
  • Mantener una copia de seguridad regular de datos importantes.
  • Conocer los procedimientos para aislar rápidamente sistemas comprometidos.

Implementando estas medidas se puede reducir significativamente el riesgo de infección por malware como WolfsBane en sistemas Linux. Es importante mantenerse informado sobre las últimas amenazas y actualizar las defensas constantemente.

Hola:

¿lo de implementar un sitio, que es crear una sesión solo para eso? (o aprovechar router, o usar la seguridad de un router en el repartidor de señal de entrada y la red local .

Saludos felicidades

Visto que es de ayer hasta he pensado que era una inocentada :rofl:

Veo que según la gente de ESET a la que tampoco he hecho mucho caso nunca, que esto “ataca servidores” usando “componentes de escritorio KDE”. Ajá.

También leo que “los grupos APT se dirigen cada vez más a las plataformas de Linux debido a que la seguridad de Windows se hace más fuerte.” Ajá.

Alguien tendría que avisarlos de que dado que los primeros malware se desarrollaron cuando MS-DOS era usado por su dueño y poco más, es lógico que existan para Unix-like. Pero comparar cualquier cosa con SELinux o AppArmor con Windows es para que no lo lea nadie.

En fin, no ejecutes cosas raras de escritorio como root.

Dicho todo eso, hoy en día el control del acceso ssh es crucial -servidores en nube tanto dedicados como VPS-. Recuerdo que hace unos años algún grupo chino de esos me atacó un servidor CentOS y aunque no pude constatar que lograra acceso, sí había conseguido mantener una conexión ssh activa. Esto requieres 2FA o al menos acceso con certificado, además de claves fuertes de verdad.

Más cosas. En último caso tienes un montón de antivirus, desde ClamAV hasta soluciones como Kasperski y otros. Yo creo que el uso de estas herramientas añade sus propios riesgos :rofl:

Muchas de las herramientas tradicionales no están ya disponibles con la distribución (algunas lo están en algún proyecto personal, como chrootkit) y otras en el repo security. Wireshark está disponible pero siempre me ha parecido confusa y ni siquiera la interfaz QT parece cambiar esto aunque todo será ponerse. También está Nagios, pero francamente no la he usado jamás.

Es que además todo depende. No es lo mismo un servidor que un equipo de escritorio, y SELinux y Apparmor pueden ser suficientes para la mayoría -o usar contenedores…

Hola, Pihole C&C servers https://github.com/eset/malware-ioc/tree/master/gelsemium

1 Like

ESET siempre ha sido una maraña de mentiras, en mi opinión no son de fiar.