Menú principal

jueves, 26 de enero de 2012

iPhoneOS.ikee: Gusanos SSH para iOS con jailbreak

En Seguridad Apple hemos ido hablando de distinto malware histórico que afectó a tecnologías Apple, como han sido DNS Changer, Opinion.Spy, LoseLose, Ace in the hole, entre otros. Hoy hemos traído desde el recuerdo a iPhoneOS.ikee, una familia de gusanos que afectaron a dispositivos iOS que utilizaban la contraseña por defecto del usuario root en el servicio SSH. Por lo comentado, es fácil entender que sólo afectó a dispositivos a los que se les hubiera realizado el proceso de jailbreak. Es muy recomendable que si se ha realizado este proceso, cambiar la contraseña de acceso, tanto del usuario mobile, como el usuario root, y a ser posible fortificar el servicio SSH en iOS.

Funcionamiento de los gusanos

En base, estos gusanos lanzados en el año 2009 realizan la infección aprovechando conexiones SHH con usuarios de passwords conocidas, que permiten acceder al dispositivo y ejecutar comandos. Sin embargo, existen diferencias en las acciones ejecutadas. Dejando fuera a iPhoneOS.iKee.A, que tenía un comportamiento similar, hay que centrarse en iPhoneOS.iKee.B, que fue el más extendido. Una vez instalado intenta la conexión con dispositivos que se encuentraran en un conjunto de rangos de direcciones IP que venían pre-configurados en código, realizando escaneos continuos para propagarse.

Una vez dentro del sistema operativo del  terminal, iPhoneOS.Ikee.B copiaba el archivo /private/var/mobile/home/cydia.tgz,  descomprimía el fichero para ejecutar el script de instalación que contiene el fichero malicioso. Una vez instalado descargaba los siguientes ficheros de configuración :
/System/Library/LaunchDaemons/com.apple.ksyslog.plist
/System/Library/LaunchDaemons/com.apple.period.plist
/System/Library/LaunchDaemons/com.apple.periodic.plist.
Además, iPhoneOS.Ikee.B va a modificar la contraseña del servicio SSH, pasando de alpine a ohshit, realizando esta acción sobre el fichero /etc/master.passwd. Además, como última vuelta de tuerca, este gusano intenta descargar los siguientes paquetes para controlar mejor el dispositivo.
- adv-cmds_119-5_iphoneos-arm.deb
- sqlite3_3.5.9-9_iphoneos-arm.deb
- curl_7.19.4-6_iphoneos-arm.deb
Por otro lado, el compotamiento de iPhoneOS.iKee.C era similar en cuanto estructura, era mucho menos malicioso, y se limitaba a tomar el control del dispositivo y demostrar que lo había podido hacer. Cuando el gusano infectaba un sistema borraba el contenido del directorio /usr/bin/sshd y de este modo detiene el demonio de SSH, para evitar cualquier otro acceso remoto al dispositivo.

En segundo lugar, trataba de propagarse a través de direcciones IP que estubieran hard-coded. Cuando se consigue infectar otro sistema remoto, el gusano copia los siguientes ficheros al sistema /bin/poc-bbot y la imagen  /var/log/youcanbeclosertogod.jpg, que sería utilizada para conseguir cambiar el fondo de escritorio por una foto de Rick Astley.

Figura 1: Fondo de pantalla de terminal infectado con iPhoneOS.iKee.C

El primero de estos archivos servirá para comprobar que el gusano se está ejecutando sólo una vez. Después, el gusano copia el fichero /System/Library/LaunchDaemons/com.iky.bbot.plist, y de esta manera se cargaba remotamente para ejecutarse en cada reinicio del dispositivo.

Contramedidas para evitar los coletazos de iPhone.iKee

Acabar de matar a los gusanos siempre es difícil, por lo que es posible que aún queden muestras circulando por ahí. En VirusTotal hay referencias del 2011, aunque podrían ser de investigadores de seguridad que testean los motores antivirus. Para solucionar el problema y limpiar el malware se debe eliminar los siguientes ficheros:
- /var/lock/bbot.lock
-/var/mobile/Library/LockBackground.jpg
- /bin/poc-bbot
- /var/log/youcanbeclosertogod.jpg
Es también altamente recomendable que el usuario desactive el servicio SSH cuando no lo necesite, por ejemplo con la herramienta SBS Settings o colocando un Toggle en el dispositivo para que simplemente dando a un botón se pueda activar/desactivar este tipo de servicios. 

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares