sábado, 21 de octubre de 2017

Botnet IoT crece en las sombras durante el mes de septiembre

Investigadores de 360.cn y CheckPoint descubren una botnet que rápida y silenciosamente ha infectado a cerca de dos millones de dispositivos. La mayoría de ellos, cámaras IP y grabadoras de video en red. 


Mapa de conexiones de la botnet.

La botnet, referenciada como IoT_reaper fue descubierta en el mes de septiembre. Desde entonces, ha sufrido muchas modificaciones y aumentado el numero de dispositivos infectados.

Esta botnet que "surge" de Mirai utiliza código de dicha botnet. Sin embargo, posee muchas distinciones y nuevos mecanismos que la separan lo suficiente de Mirai para considerarlo una nueva amenaza. 

Como diferencia insignia, IoT_reaper abandona el uso de ataques de fuerza bruta utilizando contraseñas por defecto o débiles escaneando puertos telnet abiertos. En su lugar, utiliza exploits para tomar el control de aquellos dispositivos que no hayan sido parcheados, añadiéndolos así a su infraestructura. 

La botnet actualmente, cuenta con 9 vulnerabilidades que explota:


D-Link 1 https://blogs.securiteam.com/index.php/archives/3364
D-Link 2 http://www.s3cur1ty.de/m1adv2013-003
GOAHEAD https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html
JAWS https://www.pentestpartners.com/blog/pwning-cctv-cameras/
Netgear https://blogs.securiteam.com/index.php/archives/3409
Vacron https://blogs.securiteam.com/index.php/archives/3445
Netgear 2 http://seclists.org/bugtraq/2013/Jun/8
LinkSys http://www.s3cur1ty.de/m1adv2013-004
AVTECH https://github.com/Trietptm-on-Security/AVTECH


A esta lista, se continuan incluyendo nuevas vulnerabilidades a medida que la botnet se actualiza. El malware contiene un listado "openr resolvers", funcionalidad que le permite llevar a cabo ataques de amplificación de DNS con relativa facilidad (http://openresolverproject.org/) 

Comprobando el listado de IPs seleccionadas. 

La botnet contiene la runtime de LUA, y contacta con un servidor remoto para ejecutar módulos de manera dinámica.

Script remoto en LUA

API remota


Durante el análisis no se ha observado la presencia de comandos que hagan referencia a un ataque DDoS, lo que da pie a pensar que es una botnet aún en desarrollo activo. 

Basándonos en los datos conocidos del día 19 de Octubre, el número de nodos activos alcanza la cifra de 10.000. Suponiendo que el atacante tenga más de 10.000 nodos activos diariamente, y que cada nodo cuenta con una velocidad de subida de 10mbps, estaríamos hablando de una potencia de 100Gbps.

En caso de contar con dispositivos IoT en el hogar, lo ideal es identificar si poseen vulnerabilidades y contactar con el fabricante para obtener más información y de esa manera poder parchearlas.  

Fernando Díaz
fdiaz@hispasec.com

Más información:

僵尸网络】IOT_REAPER : 一个正在快速扩张的新 IOT僵尸网络: