miércoles, 25 de marzo de 2009

Routers, modems y botnets

Desde hace unas semanas DroneBL ha sufrido un ataque distribuido de denegación de servicio procedente de una botnet llamada 'psyb0t'. Nada nuevo si tenemos en cuenta que DroneBL ofrece un servicio gratuito de publicación de listas negras de IP en tiempo real, lo cual no es precisamente una manera de ganarse admiradores entre las filas de creadores de malware, spammers, etc. Lo interesante del asunto se lo encontraron cuando recabaron información sobre su atacante.

El gusano que teje 'psyb0t' no tiene como objetivo los ordenadores personales o servidores. El binario ni tan siquiera está compilado para la omnipresente arquitectura x86. Su foco de infección se encuentra en los routers y modems ADSL con Linux y procesador MIPS. El gusano efectúa un barrido por rangos de IP escaneando los puertos 22, 23 y el 80, buscando una vulnerabilidad que expone la administración remota del dispositivo a través de telnet, ssh e interfaz web inclusive con los permisos por defecto. Si la configuración ha sido modificada, lo intentará por fuerza bruta.

Tras obtener una shell con permisos de administrador borra el archivo '/var/tmp/udhcpc.env' que pertenece al cliente DHCP y comprueba la existencia del comando wget para efectuar la descarga de una réplica del gusano con el mismo nombre y ruta que el archivo borrado. Tras ello inyecta reglas en iptables para cerrar la entrada en los puertos 22, 23 y 80 y así evitar su apertura lícita y reinfección. Una vez infectado, el nuevo nodo, conecta a un servidor IRC donde procesa el topic que contiene instrucciones para los bots.

Aunque el primer contacto con esta botnet fue documentado por un tal Terry Baume en enero de este año, parece ser que este es el primer ataque a gran escala o el incidente que ha tenido mayor repercusión mediática hasta el momento. Varios son los factores que no pasaron por alto los creadores de 'psyb0t', un vector fácil, contraseñas por defecto y exposición de la administración remota, una presa descuidada, como un olvidado router con el que no se interactúa y se mantiene encendido las 24 horas, y sobre todo el silencio: ¿Cuándo fue la última vez que monitorizaste el tráfico del router?


David García
dgarcia@hispasec.com



No hay comentarios:

Publicar un comentario en la entrada