Análisis de malware

Malware Mukashi: qué es, cómo funciona y cómo prevenirlo | Destacado malware

3 de junio de por Greg Belding

Introducción

Aprender del pasado puede ser una parte importante del éxito futuro en cualquier esfuerzo, incluidos los ciberataques. Los grupos de ataque observan este concepto y lo aplican cuando crean nuevas campañas de ataque antes de ser liberadas.

Mukashi es un ejemplo de malware que utiliza lo que ha funcionado bien para los atacantes en el pasado, presentado como una variante con un enfoque más limitado. Este artículo detallará la variante Mirai conocida como Mukashi y explorará qué es, cómo funciona y cómo prevenirla. Aunque Mukashi está impulsado por los éxitos de Mirai, no te desanimes: se puede cerrar en seco al igual que su predecesor.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

¿Qué es Mukashi?

Mukashi es una variante de la familia de malware Mirai, conocida por atacar dispositivos IoT. El Mirai original fue descrito como un caso clásico de extorsión: los creadores infectaban a clientes potenciales con Mirai y luego ofrecían sus servicios para eliminar la amenaza. El malware escanearía los dispositivos IoT en una red en busca de vulnerabilidades y esclavizaría los dispositivos vulnerables (especialmente aquellos que todavía usaban sus credenciales predeterminadas de fábrica).

Lo que diferencia a Mukashi de Mirai es que Mukashi explota una vulnerabilidad específica en el dispositivo de almacenamiento en red de un determinado proveedor.

En febrero de, se descubrió una vulnerabilidad de ejecución remota de código en dispositivos de almacenamiento conectados a la red (NAS) de Zyxel, CVE–9054 , como una vulnerabilidad de día cero. Se le ha otorgado una calificación CVE de 9,8 y se considera crítico. Según Krebs on Security, hay alrededor de 100 millones de dispositivos Zyxel implementados en todo el mundo, y los dispositivos Zyxel con una versión de firmware de 5.21 o menos son vulnerables.

Mukashi aprovecha CVE–9054 para convertir ciertos dispositivos NAS Zyxel en una botnet involuntaria de zombis. Esta vulnerabilidad fue descubierta por primera vez por Palo Alto Networks el 12 de marzo de, cuando un actor de amenazas intentó colocar un script de shell en el directorio TMP de un dispositivo vulnerable y ejecutar el script sin ser detectado.

¿Cómo funciona Mukashi?

Aunque no se ha informado de un elemento de extorsión en los casos de infección por Mukashi, actúa de manera muy similar a Mirai y otras variantes de Mirai. Mukashi escanea Internet en busca de dispositivos IoT con vulnerabilidades, como (principalmente) dispositivos Zyxel NAS, grabadoras de video digital (DVR), cámaras de seguridad y otros dispositivos conectados. Estos dispositivos suelen utilizar contraseñas predeterminadas de fábrica y que se adivinan con frecuencia. Los dispositivos con este nivel de seguridad débil son blancos fáciles para los atacantes.

Definido técnicamente como un bot, Mukashi primero decodifica las credenciales basándose en experiencias previas con hosts similares y otras credenciales comunes. A continuación, Mukashi escanea el puerto TCP 23 de los hosts de IoT y lanza intentos de inicio de sesión por fuerza bruta contra estos hosts para encontrar combinaciones exitosas de credenciales de inicio de sesión. Si encuentra alguna combinación de credenciales exitosa, la informa al servidor Mukashi C2. Este mensaje se envía a C2 en el siguiente formato:

dirección IP del host:23 nombre de usuario:contraseña

Antes de que Mukashi lleve a cabo más acciones, primero se vincula al puerto TCP 23448 del host para asegurarse de que solo se esté ejecutando una instancia en el sistema infectado. Esto hace que sea más fácil evitar la detección, ya que dejaría menos rastro digital de migas de pan a seguir. A continuación, muestra un mensaje que dice “Protegiendo su dispositivo de más infecciones” en el host infectado.

Al igual que otras variantes de Mirai, Mukashi también puede recibir comandos C2 para llevar el ataque más allá de los ataques de fuerza bruta. Una de las acciones más devastadoras que puede realizar mediante el comando C2 es lanzar ataques DDoS. Los investigadores de Palo Alto Networks han descubierto que las mecánicas de ataque DDoS de Mukashi (TCP, UDP, derivación de TCP y derivación de UDP) son idénticas a las utilizadas por otras variantes de Mirai. También tiene capacidades de defensa anti-DDoS que añaden un aire de persistencia a sus respectivos ataques DDoS.

Mukashi admite más que solo comandos DDoS. A continuación se muestra una lista de los comandos C2 que admite:

SILBIDO
Killallbots
Asesino
Escáner
.udp
.duprand
.udpplain
.udpbypass
.udphex
.tcp
.tcpbypass
.http

Cómo prevenir Mukashi

La prevención comienza con mantener su dispositivo actualizado con las últimas actualizaciones de seguridad. Como se mencionó anteriormente, los dispositivos Zyxel NAS con versiones de firmware inferiores a 5.21 corren mayor riesgo porque ya no son compatibles. El 24 de febrero, Zyxel publicó un parche para las versiones 5.21 y posteriores, y este parche debería prevenir Mukashi.

Aquellos con una versión de firmware inferior a 5.21 deben deshacerse de su dispositivo y adquirir uno que pueda aplicar la actualización. Como dijo Krebs sobre Seguridad: “Si no puedes parchearlo, tíralo”.

Para aquellos que no tienen la opción de simplemente “proponerlo”, hay otra opción disponible. Es posible que pueda descargar el firmware más reciente para su dispositivo NAS Zyxel y esto solucionaría el problema de compatibilidad mencionado anteriormente. Nuevamente, si su dispositivo ya no es compatible, no tendrá suerte con esta opción.

La última medida preventiva es cambiar las credenciales de inicio de sesión predeterminadas en su dispositivo si aún no lo ha hecho. Esta es una medida de seguridad estándar para cualquier dispositivo IoT, ya que muchos vienen precargados con credenciales predeterminadas fáciles de adivinar y de uso común.

Conclusión

Mukashi es una variante del IoT dirigida al malware Mirai. Al igual que otras variantes de Mirai, Mukashi escanea los dispositivos IoT en busca de vulnerabilidades e informa combinaciones de credenciales de inicio de sesión exitosas a su servidor C2.

Lo que hace que Mukashi sea diferente es que, si bien es capaz de realizar esta acción básica de malware de IoT, se dirige específicamente a una vulnerabilidad de ejecución remota de código de los dispositivos Zyxel NAS con una versión de firmware inferior a 5.21. Si sigue las medidas preventivas enumeradas en este artículo, puede evitar que este robot de malware aproveche esta vulnerabilidad de Zyxel.