Nueva variante del malware para IoT Mirai apunta a nuevos dispositivos para botnet incluyendo SD-WAN

Según un blog publicado por investigadores de seguridad en Palo Alto Networks, el malware se dirige a dispositivos que van desde sistemas de presentación inalámbricos a decodificadores, SD-WAN e incluso controladores domésticos inteligentes. Inicialmente, Mirai utilizó las credenciales predeterminadas para obtener acceso a los dispositivos. Pero se han observado muestras recientes que hacen uso de […]

Según un blog publicado por investigadores de seguridad en Palo Alto Networks, el malware se dirige a dispositivos que van desde sistemas de presentación inalámbricos a decodificadores, SD-WAN e incluso controladores domésticos inteligentes.

Inicialmente, Mirai utilizó las credenciales predeterminadas para obtener acceso a los dispositivos. Pero se han observado muestras recientes que hacen uso de exploits disponibles públicamente para propagarse y ejecutarse en dispositivos vulnerables.

Los investigadores dijeron que la última variante contiene un total de 18 exploits, ocho de los cuales son nuevos para Mirai. El malware también incluye cuatro vulnerabilidades diseñadas para comprometer dispositivos como los televisores LG Supersign, los sistemas de presentación inalámbricos WePresent WiPG-1000, los dispositivos Belkin WeMo y los controladores caseros inteligentes MiCasaVerde VeraLite.

Además afirmaron que la nueva variante tenía otras características distintivas. Primero, la clave de cifrado utilizada para la tabla de cadenas es 0xDFDAACFD, que es equivalente a un XOR de byte con 0x54, basado en el esquema de cifrado estándar (tal como se implementó en la función toggle_obf) utilizada en el código fuente original de Mirai.

En segundo lugar, hay varias credenciales predeterminadas utilizadas para los investigadores de fuerza bruta que no se encontraron anteriormente en su investigación.

Esta última variante utiliza dos dominios para C2, en diferentes puertos en la versión diferente.

“Si bien los dos dominios no se resuelven actualmente a ninguna IP, una búsqueda en Shodan para la dirección IP que alberga las muestras, indica que el puerto 17 en esa dirección se usó para C2 en algún momento”, dijeron los investigadores.

El directorio que aloja el malware se actualizó un par de veces, antes de que la versión final se cargara el 26 de mayo de 2019 a las 10:05 (hora del servidor). Cada una de las actualizaciones fue menor, ya que los atacantes editaron los números de puerto C2 o actualizaron ligeramente la carga útil, agregaron los investigadores.

Los investigadores también dijeron que esta variante recién descubierta es una continuación de los esfuerzos de los autores de malware de Linux para explorar un rango más amplio y, por lo tanto, un mayor número de dispositivos IoT para formar redes de bots más grandes, lo que les otorga una mayor potencia de fuego para los ataques DDoS.

“Sobre la base de los resultados observados al usar dichas variantes, las vulnerabilidades que son más efectivas, es decir, las que infectan a un mayor número de dispositivos, se conservan o reutilizan en futuras variantes, mientras que las menos efectivas son retiradas o reemplazadas por autores de malware con otras explotaciones, “dijeron los investigadores.