La última variante de Mirai apunta a dispositivos SonicWall, D-Link e IoT

Una nueva variante de Mirai apunta a fallas conocidas en dispositivos D-Link, Netgear y SonicWall, así como fallas recientemente descubiertas en dispositivos IoT desconocidos.

Se ha descubierto una nueva variante de la botnet Mirai dirigida a una gran cantidad de vulnerabilidades en dispositivos D-Link, Netgear y SonicWall sin parches, así como fallas nunca antes vistas en dispositivos desconocidos de Internet de las cosas (IoT).

Desde el 16 de febrero, la nueva variante se ha enfocado en seis vulnerabilidades conocidas, y tres previamente desconocidas, para infectar sistemas y agregarlos a una botnet. Es solo la última variante de Mirai que ha salido a la luz , años después de que se lanzara el código fuente del malware   en octubre de 2016.

“Los ataques aún están en curso en el momento de escribir este artículo”, dijeron el lunes los investigadores del equipo de la Unidad 42 de Palo Alto Networks . «Tras una explotación exitosa, los atacantes intentan descargar un script de shell malicioso, que contiene más comportamientos de infección, como descargar y ejecutar variantes de Mirai y fuerza bruta».

Explotación inicial: defectos nuevos y antiguos

Los ataques aprovechan una serie de vulnerabilidades. Las vulnerabilidades conocidas explotadas incluyen: Un exploit SSL-VPN de SonicWall; un exploit de firewall D-Link DNS-320 ( CVE-2020-25506 ); Defectos de ejecución remota de código (RCE) de Yealink Device Management ( CVE-2021-27561 y CVE-2021-27562 ); un defecto Netgear ProSAFE Plus RCE ( CVE-2020-26919 ); una falla de RCE en Micro Focus Operation Bridge Reporter ( CVE-2021-22502 ); y un exploit del enrutador inalámbrico Netis WF2419 ( CVE-2019-19356  ).

La botnet también explotó vulnerabilidades que no fueron identificadas previamente. Los investigadores creen que estos defectos existen en los dispositivos de IoT.

Los exploits en sí incluyen dos ataques RCE, incluido un exploit dirigido a una vulnerabilidad de inyección de comandos en ciertos componentes; y un exploit dirigido al script de inicio de sesión de Common Gateway Interface (CGI) (derivado de un parámetro clave que no se ha desinfectado adecuadamente). El tercer exploit se dirige al parámetro op_type, que no se desinfecta adecuadamente y conduce a una inyección de comando, dijeron los investigadores.

Mirai Botnet: un conjunto de binarios

Después de la explotación inicial, el malware invoca la utilidad wget (un programa legítimo que recupera contenido de los servidores web) para descargar un script de shell de la infraestructura del malware. Luego, el script de shell descarga varios archivos binarios de Mirai y los ejecuta, uno por uno.

Uno de esos binarios incluye lolol.sh, que tiene múltiples funciones. Lolol.sh elimina carpetas clave de la máquina de destino (incluidas aquellas con trabajos programados existentes y scripts de inicio); crea reglas de filtrado de paquetes para bloquear el tráfico entrante dirigido a los puertos SSH, HTTP y telnet de uso común (para hacer que el acceso remoto al sistema afectado sea más desafiante para los administradores); y programa un trabajo que tiene como objetivo volver a ejecutar el script lolol.sh cada hora (para persistencia). Es de destacar que este último proceso es defectuoso, dijeron los investigadores, ya que la configuración de cron es incorrecta.

Otro binario (install.sh) descarga varios archivos y paquetes, incluido GoLang v1.9.4, los binarios «nbrute» (que emplean varias credenciales mediante fuerza bruta ) y el archivo combo.txt (que contiene numerosas combinaciones de credenciales, que se utilizarán para operaciones brutas). -forzando por «nbrute»).

El binario final se llama dark. [Arch], y se basa en el código base de Mirai. Este binario funciona principalmente para la propagación, ya sea a través de los diversos exploits iniciales de Mirai descritos anteriormente, o mediante conexiones SSH de fuerza bruta que utilizan credenciales codificadas en el binario.