Esta nueva botnet IoT denominada HNS está extendiendose desde Asia a Estados Unidos.
 |
| Extraida de https://theunhivedmind.com |
Esta botnet utiliza el mismo exploit (CVE-2016-10401) que usó la botnet Reaper. Y, a diferencia del resto de botnets IoT recientes, HNS no es una modificación de Mirai.
Los investigadores de seguridad aseguran que la botnet apareció el 10 de Enero, desapareció unos días y volvió con muchísima más fuerza el 20 de Enero.
De acuerdo con los análisis que se han realizado, cada bot contiene una lista de IPs de otros bots infectados. Esta lista puede actualizarse en tiempo real a medida que se pierdan/ganen más bots.
Además, se ha comprobado que los bots se mandan instrucciones y comandos unos a otros, similar a la base del protocolo P2P. Los comandos que pueden recibir y ejecutar son diversos, entre ellos la ejecución de código o la exfiltración de datos.
Sorprendentemente los expertos de Bitdefender no han encontrado función DDoS en los dispositivos, lo que da a pensar que seguramente esté destinada a ser desplegada como una red proxy.
El bot se comporta como un gusano el cuál genera listas de IPs aleatorias para conseguir víctimas potenciales. Entonces inicia una conexión SYN con cada host de la lista a la espera de recibir respuesta por parte de estos desde uno de los puertos específicos (23, 2323, 80, 8080).
Una vez que la conexión ha sido establecida, el bot busca un banner específico (“buildroot login:”) al cuál intenta conectar con los credenciales por defecto. En caso de fallar, la botnet intenta un ataque de diccionario usando una lista hardcodeada hasta conseguir acceso al nuevo dispositivo infectado.
La buena noticia es que el bot no es persistente por lo que un reinicio del dispositivo infectado debería de ser suficiente para limpiarlo.
Daniel Púa
@arrowcode_
dpua@hispasec.com
@arrowcode_
dpua@hispasec.com
Más información:
Bitdefender Labs:
Deja un comentario