Análisis de malware

Malware MOOSE: conceptos básicos

23 de junio de por Ninja de seguridad

En esta serie de artículos, aprenderemos sobre una famosa familia de malware de Linux conocida como MOOSE, que se utiliza para robar tráfico no cifrado a través de la red e infectar otros dispositivos automáticamente. Este malware roba cookies HTTP y realiza “me gusta”, “vistas”, etc. no legítimos en sitios de redes sociales. En la serie completa de artículos aprenderemos qué es este malware, cómo opera, algunos análisis, posibles Indicadores de Compromiso (IOC) y estrategias de limpieza y prevención.

Tenga en cuenta que esto es sólo una especie de introducción al malware MOOSE. Se cubrirán más detalles técnicos sobre estos artículos en la Parte 2 de este artículo.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

¿Qué es el malware MOOSE?

El malware Moose es un binario ELF vinculado estáticamente a estándares que se basa en subprocesos múltiples para sus operaciones y se dirige a enrutadores y módems de consumo. Este malware puede espiar el tráfico que fluye tanto entrante como saliente, que se encuentra detrás del enrutador, computadoras portátiles e incluso teléfonos móviles infectados. La agenda principal de Moose es propagarse rápidamente además de explotar cualquier otra vulnerabilidad. Principalmente busca enrutadores con credenciales débiles o predeterminadas para replicarse.

Características de los ALCES

Las siguientes son las características de MOOSE, que pertenecen principalmente a la funcionalidad de MOOSE.

MOOSE afecta a los dispositivos integrados basados en Linux que se ejecutan en la arquitectura MIPS y ARM.

MOOSE tiene un componente proxy también principalmente HTTP y SOCKS.

También se dirige a los enrutadores de consumo proporcionados por los ISP. Además, puede interceptar las comunicaciones de los dispositivos detrás del enrutador infectado.

Su objetivo principal son las redes sociales y el objetivo es realizar fraudes en estos sitios de redes sociales.

Se propaga con enrutadores y módems que tienen credenciales muy débiles.

Se comunica con un servidor CC y envía el tráfico capturado mediante escuchas ilegales.

Para evitar las protecciones NAT, puede canalizar el tráfico desde un servidor CC de retransmisión a otros hosts.

El malware MOOSE contiene dos tipos de servidores CC:

Servidor CC de informes: este servidor CC se utilizará para informes e infecciones.
Servidor CC de retransmisión: este servidor CC se utiliza para retransmisión.

[descargar]

¿MOOSE apunta a las Redes Sociales?

Como podemos ver en las capacidades anteriores, este tipo de malware se puede utilizar para realizar cualquier tipo de ataque como DDoS, secuestro de DNS mediante ataques MITM, etc., pero este malware está diseñado específicamente para realizar fraudes en redes sociales. Este malware está diseñado para robar cookies HTTP de sitios de redes sociales famosos:

Twitter: twll, twid
Google: SAPISID,APISID
Facebook: c_usuario
Youtube: INICIAR SESIÓN_INFO

Pero la pregunta sigue sin respuesta. ¿Por qué Redes Sociales?

La principal tasa de éxito de este malware MOOSE es robar las cookies HTTP. Hubo ocasiones en las que estos sitios de redes sociales operaban a través de HTTP, por lo que este ataque fue mucho más sigiloso. Hoy en día, todos estos sitios de redes sociales populares como Google, Facebook e Instagram operan a través de HTTPS, por lo que este ataque a este respecto no funcionará.
Para cometer fraude en estos sitios de redes sociales, se necesita una dirección IP confiable y un operador de sitio de red social; Probablemente no haya nada más respetable que las direcciones IP emitidas por los ISP.

Para este artículo, saltaré directamente al IoC de este malware en particular. Definitivamente cubriré la parte del análisis de este malware en la siguiente parte de esta serie.

Indicadores de compromiso (IoC)

Los siguientes son los IoC de MOOSE. Se clasificará de dos formas:

Indicadores basados en host. Los siguientes son los indicadores basados en el anfitrión:
- Presencia de un elan2 binario en el sistema y un proceso denominado elan2 en ejecución.
- Un proceso escuchando en 0.0.0.0:10073
Indicadores basados en red: los IoC basados en red se proporcionan en un archivo de texto junto con este artículo.
Regla YARA: uso del archivo yara llamado linux-moose.yar en github. Los archivos de alces se pueden identificar como se muestra a continuación.
- yara –r linux-moose.yar dir/

¿Qué más puede hacer MOOSE?

Como mencionamos anteriormente, MOOSE también se puede utilizar para realizar tipos específicos de otros ataques: