Una nueva variante de Mirai ha sido descubierta por investigadores de Fortinet. Bautizada como OMG, la funcionalidad que la define es la capacidad de utilizar los dispositivos IoT infectados como servidores proxy.
 |
| Imagen de fondo creada por Kjpargeter. Obtenida de Freepik.com |
La liberación del código fuente del la botnet Mirai ha dado a luz todo tipo de variantes con su propio arsenal de funcionalidades específicas. En previas UAD hemos hablado de como explotaban vulnerabilidades en dispositivos Huawei, usaban contraseñas por defecto en ZyXel o atacaban a software de minado.
 |
| Diagrama de funcionamiento de OMG. Obtenida de Fortinet |
Por supuesto, la nueva variante OMG (llamada así por la presencia de las cadenas ‘/bin/busybox OOMGA’ y ‘OOMGA: applet not found‘ en su interior) no podía ser menos. La presencia de los módulos de Mirai en su código indica que, de serie, puede usar las mismas técnicas que la botnet original. Pero además incluye la opción inédita: la capacidad de usar los dispositivos IoT infectados como servidores proxy.
 |
| Detalle de la configuración para elección de modo. Obtenida de Fortinet |
Una vez infectado el dispositivo, OMG comunica la infección al servidor C&C, que le responde con un valor que especifica su finalidad. El valor 0 le indica al bot que va a ser usado como servidor proxy. Para ello selecciona dos puertos al azar (‘http_proxy_port’ y ‘socks_proxy_port’), que son comunicados al servidor C&C, y configura una regla de firewall para permitir el trafico a través de ellos. Una vez lista la configuración, ejecuta un servidor proxy usando el software de código abierto 3proxy.
Esta variante ha sido descubierta por un equipo de investigadores de Fortinet. Según ellos, la posible motivación de esta funcionalidad es el cobro por el uso de la red de proxies:
Cybercriminals use proxies to add anonymity when doing various dirty work such as cyber theft, hacking into a system, etc. One way to earn money with proxy servers is to sell the access to these servers to other cybercriminals. This is what we think the motivation is behind this latest Mirai-based bot.
En su post se cubre en más detalle el funcionamiento y se aportan IOCs. Precisamente un miembro del equipo, Dario Durando, estará esta semana en la RootedCon con una charla llamada “IoT: Battle of Bots” donde cubrirá las diferentes variantes de Mirai aparecidas.
Deja un comentario