… para sistemas GNU/Linux. Isso mesmo: se antigamente, muitos acreditavam que o Linux não era ameaçado por malwares devido sua a pequena base de usuários (que para variar, possui um QI acima da média e sabe muito bem lidar com essas pragas digitais), nos dias de hoje a situação é bem diferente: o sistema está em todos os lugares (embora ainda não tenha uma presença forte nos desktops), o que já justifica o “investimento” feito em desenvolvê-los para atacar este sistema…
“A sophisticated fileless Linux malware framework, ShadowHS, that represents a significant evolution in post-exploitation tooling. Unlike traditional malware binaries, ShadowHS operates entirely in memory and demonstrates advanced operator-driven capabilities designed specifically for long-term persistence in defended enterprise environments. ShadowHS is not a standalone malware binary but rather a heavily modified variant of the hackshell utility that has been weaponized into a full-featured intrusion framework.”
— by gbhackers.
Apesar da robustez dos sistemas e a boa administração feita por experts em TI, ainda assim os malwares representam uma séria ameaça, especialmente aqueles classificados como “fileless” (sem arquivos). Eles se distinguem por não deixarem rasto no disco rígido e opera exclusivamente na memória RAM do sistema, o que os tornam extremamente eficazes para contornar as soluções de antivírus convencionais (que se baseiam na análise de arquivos). Esta abordagem furtiva permite que os atacantes mantenham uma presença prolongada no sistema, sem ativar os alarmes habituais.
O mecanismo central destes ataques no ecossistema Linux envolve frequentemente o uso de ferramentas legítimas do sistema e chamadas de sistema específicas, como a memfd_create. Esta função permite a criação de arquivos anônimos na memória, que se comportam como arquivos normais, mas que não possuem um endereço físico no armazenamento. Ao combinar isto com a execução direta através de “file descriptors”, os cibercriminosos conseguem carregar e executar código malicioso sem que qualquer binário suspeito seja alguma vez escrito no disco.
Outro ponto destacado é a exploração de vulnerabilidades conhecidas, como falhas em serviços populares (ex: Redis ou Log4j), para ganhar acesso inicial. Uma vez dentro do sistema ou contentor, o atacante utiliza técnicas de “living-off-the-land”, aproveitando interpretadores de scripts já presentes no Linux – como Python, Perl ou Bash – para descarregar e injetar o payload malicioso diretamente nos processos em execução. Esta técnica minimiza a pegada digital do ataque e dificulta o trabalho de análise forense pós-incidente.
A publicação sublinha que a deteção deste tipo de ameaça exige uma mudança de paradigma na segurança informática. Como os indicadores de compromisso (IoCs) baseados em assinaturas de ficheiros são inúteis neste cenário, os administradores de sistemas devem focar-se em Indicadores de Ataque (IoAs) baseados no comportamento. Isto inclui a monitorização rigorosa de chamadas de sistema anómalas, picos inesperados de uso de memória e comunicações de rede suspeitas que possam indicar a presença de um beacon de comando e controlo (C2).
Para finalizar, recomenda-se estratégias de mitigação proativas para proteger ambientes Linux, especialmente em infraestruturas de nuvem, de virtualização e de containers. Entre as medidas sugeridas estão o uso de sistemas de arquivos em modo de “apenas leitura” (imutáveis), a implementação de ferramentas de deteção e resposta em tempo de execução (como o Falco ou soluções EDR avançadas) e a aplicação rigorosa de patches de segurança. Manter o sistema atualizado e limitar os privilégios de execução são passos fundamentais para reduzir a superfície de ataque contra estas ameaças invisíveis.
Inclusive, considerar também a possibilidade de usar anti-malwares… &;-D