Malware en Linux: Guía Técnica Completa

ELF, rootkits, contenedores y cloud

15 artículos

~149 min lectura total

Sobre esta serie

Linux ya no es inmune al malware. Con el 96% de los servidores web, el 90% de la infraestructura cloud y el 100% de los contenedores Docker ejecutando Linux, la superficie de ataque ha crecido enormemente. Los grupos de ransomware tienen variantes ESXi, las botnets IoT corren sobre Linux ARM, y los cryptominers se esconden en contenedores comprometidos.

Para quién es

Analistas SOC que investigan alertas en servidores Linux
Administradores de sistemas que necesitan entender las amenazas a su infraestructura
Analistas de malware que quieren expandir sus capacidades más allá de Windows
Ingenieros de seguridad cloud que protegen workloads en AWS/GCP/Azure
Investigadores de IoT y sistemas embebidos

Estructura

Bloque 1: Fundamentos (artículos 1-4) Formato ELF, herramientas de análisis, rootkits LKM/eBPF, familias de rootkits.

Bloque 2: Amenazas específicas (artículos 5-10) Contenedores, cryptominers, botnets IoT, ransomware ESXi, shell scripts maliciosos, eBPF ofensivo.

Bloque 3: Defensa y detección (artículos 11-15) Systemd persistence, Auditd/Falco, supply chain, IoT malware, cloud malware.

Intermedio13 min

ELF 101: Formato de Ejecutables Linux para Analistas de Malware

Guía técnica del formato ELF (Executable and Linkable Format) desde la perspectiva del análisis de malware. Headers, secciones, segments, symbols, dynamic linking, y los indicadores que revelan si un binario ELF es malicioso.

Intermedio10 min

Análisis de Malware en Linux: Herramientas Esenciales y Metodología

Guía práctica de herramientas y metodología para análisis de malware en Linux. Análisis estático (readelf, Ghidra, CAPA), dinámico (strace, GDB, Docker sandboxing), y forense (Volatility, LiME). Setup de laboratorio y workflow completo.

Rootkits Linux: LKM, eBPF y Técnicas Modernas de Ocultación

Análisis técnico de rootkits en Linux. Rootkits de kernel module (LKM), rootkits basados en eBPF, técnicas de ocultación de procesos/archivos/conexiones, hooking de syscalls, y detección con herramientas como rkhunter, chkrootkit y Volatility.

Diamorphine, Reptile y Suterusu: Los Rootkits Linux que Debes Estudiar

Análisis técnico de los tres rootkits LKM más referenciados en el ecosistema Linux. Diamorphine (minimalista), Reptile (feature-rich con backdoor), Suterusu (técnica avanzada). Código fuente, capacidades, detección y uso como referencia educativa.

Intermedio10 min

Malware en Contenedores: Docker y Kubernetes como Superficie de Ataque

Análisis de amenazas en entornos containerizados. Imágenes Docker maliciosas, escape de contenedores, cryptojacking en Kubernetes, supply chain en registries, y estrategias de detección y hardening para entornos cloud-native.

Intermedio9 min

Cryptominers en Linux: Detección, Respuesta y Cómo Eliminan a la Competencia

Análisis de malware de criptominería en Linux. XMRig como payload dominante, técnicas de ocultación de CPU, eliminación de miners competidores, persistencia, detección con auditd/Falco/top, y respuesta ante una infección de cryptojacking.

Intermedio11 min

Botnets Linux: Mirai y Sus Variantes que Siguen Dominando el IoT

Análisis técnico de Mirai y las botnets Linux más relevantes. Código fuente de Mirai, mecanismo de propagación por telnet/SSH brute force, variantes modernas (Mozi, Gafgyt, Hajime), ataques DDoS, y detección en redes IoT.

Ransomware en ESXi: Análisis de Campañas Reales que Paralizan Infraestructuras

Análisis técnico de ransomware dirigido a VMware ESXi. Familias con variantes Linux/ESXi (LockBit, BlackCat, Hive, Akira, Play, Black Basta), técnicas de cifrado de archivos VMDK, campañas ESXiArgs, y defensa de infraestructura de virtualización.

Intermedio8 min

Shell Scripts Maliciosos: Análisis y Deofuscación Paso a Paso

Guía práctica de análisis de shell scripts maliciosos en Linux. Técnicas de ofuscación (base64, eval, hex encoding, variable substitution), deofuscación manual y automática, patrones comunes en droppers/miners/rootkits, y detección.

eBPF Malicioso: La Nueva Frontera de los Rootkits Linux

Análisis del uso ofensivo de eBPF (extended Berkeley Packet Filter) en Linux. Rootkits eBPF (TripleCross, ebpfkit), backdoors basados en BPF (BPFDoor), interceptación de credenciales, ocultación de tráfico, y los retos de detección de esta tecnología emergente.

Intermedio8 min

Systemd como Vector de Persistencia para Malware en Linux

Análisis de cómo el malware usa systemd para persistencia en Linux. Service units, timer units, socket-activated services, generator scripts, y técnicas de detección para cada mecanismo. Con ejemplos reales y reglas de auditd.

Intermedio9 min

Auditd y Falco para Detección de Malware en Linux

Guía práctica de detección de malware Linux con auditd y Falco. Configuración de reglas auditd para persistencia, credenciales y ejecución. Reglas Falco para runtime security en servidores y contenedores. Integración con SIEM y respuesta.

Intermedio8 min

Supply Chain en Paquetes Linux: npm, pip y cargo como Vectores de Ataque

Análisis de ataques supply chain en ecosistemas de paquetes. Typosquatting en npm/pip/cargo, dependency confusion, paquetes maliciosos con cryptominers y stealers, herramientas de detección (Socket, Snyk, npm audit) y buenas prácticas.

Intermedio9 min

Malware en IoT Basado en Linux: ARM, MIPS y la Superficie de Ataque del Futuro

Análisis del malware IoT en dispositivos Linux embebidos. Cámaras IP, routers, NAS como objetivos. Arquitecturas ARM/MIPS, firmware analysis con binwalk, botnets IoT modernas, y estrategias de seguridad para dispositivos embebidos.

Intermedio11 min

Cloud Malware: AWS, GCP y Azure en la Mira de los Atacantes

Análisis de malware y amenazas en entornos cloud. Abuso de metadata services, credenciales cloud robadas, cryptojacking en Lambda/Functions, malware en serverless, SSRF como vector, y detección con CloudTrail, GuardDuty y herramientas cloud-native.