Análisis de malware
Evolución de la botnet Mirai desde que su código fuente está disponible online
junio 19, por Admin
Mirai: la amenaza en evolución de la IoT
Desde la publicación del código fuente de la botnet Mirai, los delincuentes han mejorado sus propias versiones implementando nuevas funcionalidades y añadiendo nuevos exploits.
Un informe reciente publicado por el Equipo de Respuesta e Ingeniería de Seguridad Arbor (ASERT) de NetScout confirmó las intensas actividades de los actores de amenazas relacionados con la botnet Mirai; en unos meses, los expertos detectaron al menos cuatro variantes de Mirai en estado salvaje rastreadas como Satori , JenX , OMG , y Malvado .
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
La disponibilidad del código fuente de Mirai permite al autor de malware crear su propia versión.
«Al utilizar Mirai como marco, los autores de botnets pueden agregar rápidamente nuevos exploits y funciones, reduciendo así drásticamente el tiempo de desarrollo de las botnets. La fuente de Mirai no se limita solo a ataques DDoS. Se descubrió una variante de Satori que ataca a los clientes de minería Ethereum . » afirma el informe publicado por NetScout.
1: botnet Mirai
A continuación se detallan los hallazgos clave de las nuevas variantes de Mirai descubiertas por los expertos:
- Satori utiliza exploits de inyección remota de código para implementar la función de escaneo.
- El bot JenX evolucionó a partir de Mirai para incluir una codificación similar, pero los autores eliminaron las capacidades de escaneo y explotación.
- El bot OMG agrega capacidades de proxy HTTP y SOCKS.
- Wicked Mirai explota las fallas de RCE para infectar enrutadores Netgear y dispositivos CCTV-DVR. Cuando se encuentran dispositivos vulnerables, se descarga y ejecuta una copia del bot Owari.
Veamos los detalles técnicos de cada variante.
Red de bots Satori
En diciembre de, los expertos en seguridad de la firma Check Point Security descubrieron una nueva variante de la botnet Mirai denominada Satori que fue responsable de cientos de miles de intentos de explotar una vulnerabilidad recientemente descubierta en los enrutadores domésticos Huawei HG532.
La actividad de la botnet Satori ha sido observada durante el último mes por investigadores de seguridad de Check Point.
- «Los investigadores de Check Point descubrieron una vulnerabilidad de día cero (CVE–17215) en el enrutador doméstico Huawei HG532, y ya se han encontrado cientos de miles de intentos de explotarla en la naturaleza.
- La carga útil entregada ha sido identificada como OKIRU/SATORI, una variante actualizada de Mirai.
- El presunto actor de amenazas detrás del ataque ha sido identificado por su apodo, ‘Nexus Zeta'», afirma el informe publicado por la seguridad de Check Point.
La nueva botnet intentó comprometer los dispositivos Huawei HG532 en varios países, incluidos EE. UU., Italia, Alemania y Egipto.
2 – Red de bots Satori
Los ataques asociados con la nueva botnet intentaron explotar la vulnerabilidad de día cero CVE–17215 en el enrutador doméstico de Huawei causada por el hecho de que el estándar de informe técnico TR-064, que fue diseñado para la configuración de la red local, estaba expuesto a la WAN. a través del puerto 37215 (UPnP – Universal Plug and Play).
«Sin embargo, en este caso, la implementación TR-064 en los dispositivos Huawei estuvo expuesta a WAN a través del puerto 37215 (UPnP). Al observar la descripción UPnP del dispositivo, se puede ver que admite un tipo de servicio llamado `DeviceUpgrade` Este servicio supuestamente realiza una acción de actualización de firmware enviando una solicitud a «/ctrlt/DeviceUpgrade_1» (denominado controlURL) y se lleva a cabo con dos elementos llamados `NewStatusURL` y `NewDownloadURL`”, continúa el análisis .
«La vulnerabilidad permite a los administradores remotos ejecutar comandos arbitrarios inyectando metacaracteres de shell «$()» en NewStatusURL y NewDownloadURL».
Los atacantes aprovecharon la vulnerabilidad para descargar y ejecutar el bot Satori. Huawei fue informado de la vulnerabilidad el 27 de noviembre, unos días después publicó un aviso de seguridad que notificaba el problema a los usuarios y brindaba las siguientes recomendaciones para evitar la explotación de la falla:
- Configure la función de firewall incorporada.
- Cambie la contraseña predeterminada.
- Implemente un firewall en el lado del operador.
«Los clientes pueden implementar Huawei NGFW (Next Generation Firewall) o firewalls de centros de datos, y actualizar la base de datos de firmas IPS a la última versión IPS_H1000_10 lanzada el 1 de diciembre de para detectar y defenderse contra esta vulnerabilidad iniciada desde Internet», se lee en el documento . aviso publicado por Huawei.
Los expertos notaron que el bot Satori inunda los objetivos con paquetes UDP o TCP creados manualmente, primero intenta resolver la dirección IP de un servidor CC usando una solicitud DNS con el nombre de dominio codificado, luego obtiene las direcciones de la respuesta DNS e intenta conectarse a través de TCP en el puerto de destino codificado (7645).
El servidor CC, a su vez, proporciona la cantidad de paquetes utilizados para la acción de inundación y sus parámetros correspondientes, y también puede pasar una IP individual para el ataque o una subred. El bot utiliza un protocolo personalizado para comunicarse con el CC; incluye dos solicitudes codificadas para registrarse con el servidor que responde con los parámetros de ataque DDoS.
Una investigación más profunda sobre el bot permitió a los investigadores determinar que el actor detrás de la botnet Satori podría estar usando el apodo en línea de NexusZeta.
NexusZeta estuvo muy activo en redes sociales como Twitter y Github; Los expertos descubrieron que estaba asociado con cuentas de Skype y SoundCloud con el nombre de Caleb Wilson (caleb.wilson37 / Caleb Wilson 37).
Si bien el actor se describió a sí mismo como un novato («un aficionado con mucha motivación, que busca la sabiduría de la multitud»), no está claro cómo descubrió la vulnerabilidad del día cero.
«Sin embargo, como se vio en este caso y en otros durante el año pasado, está claro que una combinación de código de malware filtrado junto con una seguridad de IoT deficiente y explotable, cuando es utilizada por piratas informáticos no cualificados, puede conducir a resultados desastrosos», Check Point concluyó.
En mayo, investigadores de varias empresas de seguridad (Qihoo 360 Netlab, SANS ISC y GreyNoise Intelligence) observaron que los piratas informáticos utilizaban la botnet Satori para escanear masivamente Internet en busca de grupos de minería de Ethereum expuestos; estaban buscando dispositivos con el puerto 3333 expuesto en línea.
https://twitter.com/360Netlab/status/995008775244443648
Los atacantes se dirigieron al puerto 3333 porque es comúnmente utilizado para la administración remota por una gran cantidad de equipos de minería de criptomonedas.
Desde el 11 de mayo, los expertos comenzaron a observar el aumento en la actividad de la botnet Satori.
3 – Actividad de escaneo de Satori Botnet
Según los investigadores de GreyNoise, los actores de amenazas se centran en equipos que ejecutan el software de minería Claymore. Una vez que los atacantes han encontrado un servidor que ejecuta esta aplicación específica, enviarán instrucciones para forzar al dispositivo a unirse al grupo de minería ‘dwarfpool’ utilizando la billetera ETH. controlado por los atacantes.
La mayoría de los dispositivos involucrados en el escaneo masivo son enrutadores GPON comprometidos ubicados en México; según GreyNoise Intelligence, cinco botnets están utilizando actualmente los comprometidos para escanear en busca de mineros Claymore, y uno de ellos es el botnet Satori.
GreyNoise ha observado que ~13000 enrutadores domésticos comprometidos sondearon Internet en busca del URI ‘/GponForm/diag_Form’ en solo 96 horas, probablemente relacionado con la utilización de CVE–10561 como arma. La mayoría de los dispositivos están ubicados en el ISP «Uninet» en México.
Los investigadores de SANS ISC que analizaron la actividad de la botnet Satori descubrieron que el bot actualmente está explotando la falla de ejecución remota de código CVE–1000049 que afecta al software Nanopool Claymore Dual Miner.
Los expertos observaron la disponibilidad en línea de un código de prueba de concepto para la vulnerabilidad CVE–1000049.
«El escaneo es consistente con una vulnerabilidad, CVE-1000049 , lanzada en febrero [2]. La API de administración remota JSON RPC proporciona una función para cargar «reboot.bat», un script que luego se puede ejecutar de forma remota. El atacante puede cargar y ejecutar un comando arbitrario utilizando esta función», se lee en el análisis publicado por SANS ISC.
«El puerto en el que escucha la API se especifica al iniciar el minero, pero el valor predeterminado es 3333. La función permite un modo de ‘solo lectura’ al especificar un puerto negativo, que desactiva las funciones más peligrosas. No aparece ser una opción para requerir autenticación.»
Red de bots Masuta
A principios de, los expertos en seguridad de NewSky realizaron más investigaciones sobre la botnet Satori y descubrieron que los operadores detrás de ella también estaban trabajando en un nuevo proyecto, el llamado botnet Masuta.
La botnet Masuta se dirige a enrutadores que utilizan credenciales predeterminadas; una de las versiones analizadas por los expertos, identificada como «PureMasuta», se basa en el antiguo exploit de administración de red EDB 38722 D-Link.
«Analizamos dos variantes de una botnet de IoT llamada «Masuta», donde observamos la participación de un conocido actor de amenazas de IoT y descubrimos que un exploit de enrutador se utilizaba como arma por primera vez en una campaña de botnet», se lee en el análisis publicado por NewSky .
«Pudimos obtener el código fuente de la botnet Masuta (en japonés, «maestro») en un foro oscuro al que solo se puede invitar. Después de analizar el archivo de configuración, vimos que Masuta usa 0xdedeffba en lugar del 0xdeadbeef de Mirai como semilla del clave de cifrado, por lo tanto, las cadenas en los archivos de configuración fueron efectivamente codificadas por ((DE^DE)^FF) ^BA o 0x45.»
La botnet Masuta es responsable de cientos de miles de intentos de explotar una vulnerabilidad en los enrutadores domésticos Huawei HG532; También apuntó a enrutadores que utilizan credenciales predeterminadas; una de las versiones analizadas por los expertos denominada «PureMasuta» se basa en el antiguo exploit de administración de red EDB 38722 D-Link. Los expertos detectaron un aumento en la actividad asociada a la botnet Masuta desde septiembre; sus honeypots observaron 2400 IP involucradas en el malware. Arquitectura
4 – Actividad de la botnet Masuta
La falla provocada por el exploit EDB 38722 D-Link fue descubierta en por los investigadores Craig Heffner y afecta al protocolo de administración de la red doméstica de D-Link.
«El error armado introducido en la botnet PureMasuta está en el HNAP (Protocolo de administración de red doméstica), que a su vez se basa en el protocolo SOAP», continúa el análisis publicado por NewSky.
«Es posible crear una consulta SOAP que pueda eludir la autenticación utilizando hxxp://purenetworks.com/HNAP1/GetDeviceSettings. Además, es factible ejecutar comandos del sistema (lo que lleva a la ejecución de código arbitrario) debido a un manejo inadecuado de cadenas. Cuando Si se combinan ambos problemas, se puede formar una solicitud SOAP que primero pasa por alto la autenticación y luego provoca la ejecución de código arbitrario».
Un atacante que utilice una cadena como la siguiente provocará un reinicio.
Acción SOAPA: «hxxp://purenetworks.com/HNAP1/GetDeviceSettings/`reboot`»
Un atacante puede ejecutar cualquier comando insertado después de ‘GetDeviceSettings’; el bot PureMasuta utiliza este mecanismo para ejecutar un wget para buscar y ejecutar un script de shell y hacerse cargo del enrutador de destino.
El servidor de comando y control (93.174.93.63) utilizado por la variante PureMasuta es el mismo que se usa en las variantes originales de Masuta, esto significa que PureMasuta es una evolución de la botnet operada por los mismos actores de amenazas.
NewSky atribuye la botnet Masuta a una entidad denominada «Nexus Zeta», el nombre proviene de la URL de CC nexusiotsolutions(punto)net , esta URL es la misma utilizada por la botnet Satori.
Mirai malvada
En mayo, los expertos en seguridad de Fortinet detectaron una nueva variante de la botnet Mirai denominada ‘Wicked Mirai’ que incluye nuevos exploits y propaga un nuevo bot.
«El equipo de FortiGuard Labs ha visto un número cada vez mayor de variantes de Mirai, gracias a que el código fuente se hizo público hace dos años», se lee en el análisis publicado por Fortinet.
«Algunos hicieron modificaciones significativas, como agregar la capacidad de convertir dispositivos infectados en enjambres de proxies de malware y mineros criptográficos . Otros integraron el código Mirai con múltiples exploits dirigidos a vulnerabilidades conocidas y desconocidas , similar a una nueva variante descubierta recientemente por FortiGuard Labs, que ahora lo llamamos MALVADO.»
El nombre Wicked Mirai proviene de las cadenas encontradas en el código por los investigadores, según Fortinet, el autor de Wicked Mirai es el mismo que el de las otras variantes.
Las botnets basadas en Mirai suelen constar de tres módulos principales: Attack, Killer y Scanner. Los investigadores de Fortinet centraron su análisis en el módulo Scanner responsable de la propagación del malware.
El Mirai original aprovechó los intentos de fuerza bruta para comprometer otros dispositivos IoT, mientras que WICKED Mirai utiliza exploits conocidos.
Wicked Mirai escanearía los puertos 8080, 8443, 80 y 81 iniciando una conexión SYN de socket sin formato a dispositivos IoT. Una vez que el bit haya establecido una conexión, intentará explotar el dispositivo y descargar su carga útil escribiendo las cadenas de explotación en el socket a través de la llamada al sistema write().
El robot Wicked Mirai elige el exploit según el puerto específico al que pudo conectarse. Debajo de la lista de dispositivos atacados por Wicked Mirai
- Puerto 8080: enrutadores Netgear DGN1000 y DGN2v1 (también utilizados por la botnet Reaper)
- Puerto 81: Ejecución remota de código CCTV-DVR
- Puerto 8443: Inyección de comandos Netgear R7000 y R6400 ( CVE–6277 )
- Puerto 80: shell de invocador en servidores web comprometidos
El análisis del código reveló la presencia de la cadena SoraLOADER, lo que sugería que podría intentar distribuir la botnet Sora.
Una investigación más profunda permitió a los investigadores contradecir esta hipótesis y confirmó que el bot se conectaría a un dominio malicioso para descargar el bot Owari Mirai.
«Después de un exploit exitoso, este bot descarga su carga útil desde un sitio web malicioso, en este caso, hxxp://185[.]246[.]152[.]173/exploit/owari.{extension}. Esto hace que Es obvio que su objetivo es descargar el bot Owari, otra variante de Mirai, en lugar del bot Sora previamente insinuado», se lee en el análisis.
«Sin embargo, en el momento del análisis, las muestras del bot Owari ya no se podían encontrar en el directorio del sitio web. En otro giro de los acontecimientos, resulta que han sido reemplazadas por las muestras que se muestran a continuación, que luego se descubrió que eran las Omnibot.»
El análisis del directorio /bins del sitio web reveló otras muestras de Omni, que aparentemente se entregaron utilizando la vulnerabilidad GPON CVE–10561 .
5 – Muestras de Omni
Al buscar un vínculo entre Wicked, Sora, Owari y Omni, los investigadores de seguridad de Fortinet encontraron una entrevista con el autor de Owari/Sora IoT Botnet que se remonta a abril.
El vxer, que utiliza el nombre de usuario en línea «Wicked», dijo que abandonó la botnet Sora y estaba trabajando en una de Owari.
La conversación sugiere que el autor abandonó los robots Sora y Owari y actualmente está trabajando en el proyecto Omni.
«Basándonos en las declaraciones del autor en la entrevista antes mencionada sobre las diferentes botnets alojadas en el mismo host, podemos esencialmente confirmar que los autores de las botnets Wicked, Sora, Owari y Omni son el mismo. Esto también nos lleva a la conclusión de que, si bien el bot WICKED originalmente estaba destinado a distribuir la botnet Sora, luego fue reutilizado para servir a los proyectos posteriores del autor», concluye Fortinet.
Me comuniqué con Malware Must Die, el experto que descubrió por primera vez la botnet Mirai, para obtener un comentario sobre la variante Wicked Mirai.
Me dijo que las variantes fueron desarrolladas por el mismo codificador que puso todo el código de explotación de alta posibilidad en Mirai.
«Parecía que GPON se usaba en un esquema pwn separado mediante scripts diferentes fuera de Mirai, pero se usaba para infectar a Mirai», agregó.
Los investigadores de MalwareMustDie me dijeron que pasaron la identidad del autor a la LEA del país relacionado. Me explicaron que, aunque hicieron varios informes a las autoridades, las autoridades no lograron impedir la difusión del código malicioso. Los expertos me mostraron un informe oficial a LEA de enero de, cuando alertaron a las autoridades sobre la propagación de nuevas variantes de Mirai.
«La identificación del actor fue pasada a la LEA del país relacionado por nuestro equipo que también investigó el resultado desde que publicamos la variante Satori/Okiru hace un tiempo, mucho antes de que se detectara la variante ARC CPU», me dijo MMD .
«Entonces, con el lanzamiento de OWARI, SORA y WICKED, esto es lo que sucederá si dejamos que el actor de malware ande suelto sin ser detenido. Se creará más daño y simplemente no sabrán cómo detenerse».
Red de bots JenX
En febrero de, expertos de la firma de seguridad Radware detectaron una nueva botnet de IoT, denominada JenX, que explota las vulnerabilidades provocadas por la botnet Satori y aprovechó la comunidad de videojuegos Grand Theft Auto para infectar dispositivos.
La actividad de la botnet Satori fue observada en por investigadores de seguridad de Check Point; aprovechó la falla CVE–17215 en el enrutador doméstico Huawei HG532.
JenX explota CVE–8361 (ejecución de comando SOAP Realtek SDK Miniigd UPnP) y CVE–17215 (ejecución de comando arbitrario Huawei Router HG532). que afectan a los routers Huawei y Realtek.
«Recientemente, una nueva botnet comenzó a reclutar dispositivos IoT. La botnet utiliza servidores alojados para encontrar e infectar nuevas víctimas aprovechando una de las dos vulnerabilidades conocidas que se han vuelto populares en las botnets IoT recientemente:
- CVE–8361 Vulnerabilidad y exploit relacionado «Realtek SDK Miniigd UPnP SOAP Command Execution» .
- CVE-–17215 Vulnerabilidad y exploit relacionado «Huawei Router HG532: ejecución de comando arbitrario «, afirma Radware en una publicación de blog .
«Ambos vectores de explotación son conocidos por la botnet Satori y se basan en el código que fue parte de una publicación pública reciente en Pastebin realizada por «Janit0r», autor de » BrickerBot «.
JenX también implementó algunas técnicas utilizadas por la botnet PureMasuta . El servidor de comando y control está alojado en el sitio San Calvicie , que ofrece compatibilidad con mods multijugador para Grand Theft Auto: San Andreas y también servicio de alquiler de DDoS .
JenX es una botnet DDoS, la opción DDoS que ofrece San Calvicie se llama «Corriente Divina».
Los usuarios del sitio web pueden alquilar un servidor modificado multijugador de GTA San Andreas por 16 dólares, y un servidor Teamspeak cuesta 9 dólares. Agregando $s posible impulsar ataques DDoS masivos que pueden alcanzar un máximo de 290 y 300 Gbps.
«La opción Corriente Divina se describe como ‘la ira de Dios se empleará contra la propiedad intelectual que usted nos proporciona», escribió Pascal Geenens, experto en seguridad cibernética de Radware. «Proporciona un servicio DDoS con un ancho de banda garantizado de 90-100 Gbps y vectores de ataque que incluyen Valve Source Engine Query e inundaciones de 32 bytes, scripts TS3 y una opción ‘Down OVH’ que probablemente se refiere a ataques dirigidos al servicio de alojamiento de OVH . un proveedor de alojamiento en la nube que también fue víctima de los ataques originales de Mirai en septiembre de. OVH es bien conocido por alojar servidores de juegos multijugador como Minecraft, que fue el objetivo de los ataques de Mirai en ese momento.
6: botnet JenX DDoS
A diferencia de las botnets Satori y PureMasuta, JenX tiene una infraestructura centralizada; Utiliza un servidor central para realizar el escaneo de nuevos hosts.
«El inconveniente del enfoque central es un crecimiento menos que lineal con el número de servidores desplegados. Mucho más lento en comparación con la tasa de crecimiento exponencial y menos agresivo que los botnets de escaneo distribuido», continúa el análisis .
La arquitectura de la botnet con un servidor central que coordina la actividad la expone a ataques operados por empresas policiales y de seguridad. Por supuesto, los actores de amenazas pueden implementar el servidor de control en la Dark Web, lo que dificulta el control por parte de las autoridades.
Incluso si JenX puede impulsar ataques DDoS masivos, no representa una amenaza grave porque su objetivo es interrumpir los servicios que compiten por los servidores multijugador de GTA SA.
«Se supone que la botnet tiene un propósito específico y se utiliza para interrumpir los servicios de los servidores multijugador de GTA SA de la competencia. No creo que esta sea la botnet que acabe con Internet», concluyó Geenens .
«¡Pero contiene algunas evoluciones nuevas e interesantes y se suma a una lista de botnets de IoT que crece más y más rápido cada mes! Dicho esto, no hay nada que impida que uno utilice el servicio barato de $or objetivo para realizar ataques de 290 Gbps en empresas. objetivos e incluso objetivos relacionados con el gobierno. No puedo creer que el grupo de San Calvicie se oponga a ello».
Red de robots Dios mío
En febrero, los investigadores de Fortinet detectaron una nueva variante de la botnet Mirai; esta es la primera variante que conservidores proxy en los dispositivos IoT comprometidos.
Los expertos rastrearon la nueva variante como OMG debido a cadenas que contienen «OOMGA» en la tabla de configuración.
«Por esta razón, decidimos llamar a esta variante OMG. La tabla, originalmente cifrada, fue descifrada usando 0xdeadbeef como semilla de clave de cifrado, usando el mismo procedimiento adoptado para el Mirai original. Lo primero que notamos son las cadenas /bin/ «Buybox OOMGA y OOMGA: subprograma no encontrado», escribió Fortinet .
«El nombre Mirai se le dio al bot Mirai debido a las cadenas /bin/busybox MIRAI y MIRAI: subprograma no encontrado, que son comandos para determinar si se ha abierto camino con éxito por la fuerza bruta en el dispositivo IoT objetivo. Estas cadenas son similares con otras variaciones como Satori / Okiru , Masuta , etc.»
La botnet OMG incluye la mayoría de las funciones y módulos observados en la botnet Mirai, incluidos los módulos de ataque, asesino y escáner, pero también agrega otros nuevos.
Según Fortinet, su configuración incluye dos cadenas que se utilizan para agregar una regla de firewall para garantizar que se permita el tráfico en dos puertos aleatorios.
«Esta variante también agrega y elimina algunas configuraciones que se pueden encontrar en el código Mirai original. Dos adiciones notables son las dos cadenas que se usan para agregar una regla de firewall para permitir el tráfico en dos puertos aleatorios, que discutiremos en la última parte. del artículo», continúa el análisis.
7: La botnet OMG Mirai utiliza reglas de firewall
Después de la inicialización, OMG se conecta al servidor de comando y control (CC); la tabla de configuración analizada en la publicación contiene la cadena del servidor CnC, ccnew.mm.my, que se resuelve en 188.138.125.235.
El malware se conecta al puerto CC 50023; luego envía un mensaje de datos definido (0x00000000) al servidor para identificarse como un nuevo bot.
El servidor, a su vez, envía una cadena de datos de 5 bytes de largo, donde el primer byte es un comando sobre cómo se debe usar el dispositivo recién reclutado como servidor proxy; las dos opciones son:
- 1 para ataque
- 1 para finalizar la conexión.
El análisis del código fuente de la botnet OMG reveló que aprovecha el software de código abierto 3proxy como servidor proxy y durante la fase de configuración el bot agrega reglas de firewall para permitir el tráfico en los dos puertos aleatorios.
«Esta variante de Mirai utiliza 3proxy, un software de código abierto, para servir como servidor proxy. La configuración comienza generando dos puertos aleatorios que se usarán para http_proxy_port y Socks_proxy_port. Una vez que se generan los puertos, se informan al CnC. «, continúa el análisis.
«Para que el proxy funcione correctamente, se debe agregar una regla de firewall para permitir el tráfico en los puertos generados. Como se mencionó anteriormente, se agregaron a la tabla de configuración dos cadenas que contienen el comando para agregar y eliminar una regla de firewall para habilitar esto».
Los expertos de Fortinet creen que los operadores detrás de la botnet OMG venden acceso al servidor proxy de IoT; Destacaron que esta es la primera variante de Mirai que conservidores proxy en dispositivos IoT vulnerables.
«Con este desarrollo, creemos que cada vez surgirán más bots basados en Mirai con nuevas formas de monetización», concluyó Fortinet.
Conclusión
Los ciberdelincuentes seguirán creando sus propias versiones de la botnet Mirai, por este motivo las organizaciones deben aplicar parches, actualizaciones y estrategias de mitigación de DDoS adecuados para proteger su infraestructura.
«Como se ve en los cuatro ejemplos cubiertos anteriormente, los autores de botnets ya están utilizando el código fuente de Mirai como sus componentes básicos. Como la explosión de dispositivos de IoT no parece estar desacelerando, creemos que continuaremos viendo aumentos en las botnets de IoT. «, concluyó el informe publicado por el Equipo de Respuesta e Ingeniería de Seguridad Arbor (ASERT) de NetScout.
«Es probable que también veamos restos de Mirai vivos en estas nuevas botnets».
Referencias
https://securityaffairs.co/wordpress/73114/malware/mirai-evolution.html
https://securityaffairs.co/wordpress/50929/cyber-crime/linux-mirai-elf.html
https://securityaffairs.co/wordpress/51868/cyber-crime/mirai-botnet-source-code.html
https://securityaffairs.co/wordpress/72640/malware/wicked-mirai.html
https://securityaffairs.co/wordpress/69449/cyber-crime/omg-botnet.html
https://asert.arbornetworks.com/omg-mirai-minions-are-wicked/
https://securityaffairs.co/wordpress/72651/cyber-crime/satori-botnet-mass-scanning.html
https://securityaffairs.co/wordpress/67040/hacking/satori-botnet-mirai-variant.html
https://blog.radware.com/security//02/jenx-los-calvos-de-san-calvicie/
https://www.fortinet.com/blog/threat-research/omg–mirai-based-bot-turns-iot-devices-into-proxy-servers.html
https://blog.newskysecurity.com/masuta-satori-creators-first-botnet-weaponizes-a-new-router-exploit-2ddc51cc52a7?gi=afd502ef8c1c
https://research.checkpoint.com/good-zero-day-skiddie/
https://securityaffairs.co/wordpress/68153/malware/masuta-botnet.html
https://securityaffairs.co/wordpress/68153/malware/masuta-botnet.html
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
https://www.fortinet.com/blog/threat-research/a-wicked-family-of-bots.html