1 2 3 4 5 6

Botnet de Windows se propaga con variante de Mirai

ThreatPost 21-Feb-2017

Un atacante de habla china está difundiendo una variante de Mirai de una botnet reutilizada basada en Windows.

Los investigadores de Kaspersky Lab publicaron un informe diciendo que el código fue escrito por un desarrollador experimentado que también le agregó la capacidad de propagar el malware enfocado a IoT a máquinas Linux bajo ciertas condiciones.

Los investigadores advierten que este no es un "salto sensacional de Linux Mirai a Windows Mirai todavía", pero dijo que esto sigue siendo otra consecuencia de la disponibilidad pública del código fuente de Mirai, así como las malas protecciones alrededor de los dispositivos conectados y sistemas embebidos.

"Sin embargo, es desafortunado ver cualquier tipo de coincidencia entre Mirai para la plataforma Linux y el de la plataforma Windows", reportó el informe de Kaspersky Lab. "Al igual que el código fuente del troyano enfocado a la banca Zeus, que trajo años de problemas para la comunidad en línea, el lanzamiento de código fuente de Mirai va a traer problemas graves --a la infraestructura de Internet en los próximos años, y esto es solo el comienzo."

La única manera en que la botnet de Windows puede propagarse a sistemas Linux es ejecutando un ataque de fuerza bruta contra una conexión remota de telnet en un dispositivo. También puede propagarse a través de ataques de inyección SSH, SMI, SQL y técnicas de IPC y se dirige a cámaras basadas en IP, DVR conectados y dispositivos de centro de medios, así como varios dispositivos Rasberry Pi y Banana PI.

"Desafortunadamente, este código es claramente el trabajo de un seguidor de bots más experimentado, nuevo en el juego de Mirai, y posiblemente uno que no es novato como el operador original de Mirai", explicó Kaspersky Lab.

La compañía informó que ha observado ataques contra 500 sistemas únicos este año, principalmente en mercados emergentes.

"Los atacantes más experimentados, con técnicas cada vez más sofisticadas, están empezando a aprovechar el código libre de Mirai", dijo Kurt Baumgartner, principal investigador de seguridad de Kaspersky Lab. "Una botnet de Windows propaga los bots IoT de Mirai verifica la red y permite la propagación de Mirai a dispositivos y redes disponibles que anteriormente no estaban disponibles para los operadores de Mirai. Este es solo el comienzo."

Este bot en particular no solo fue codificado y compilado en un sistema chino, sino firmado con certificados robados de una firma de código de un par de fabricantes chinos de silicio y obleas, Xi’an JingTech electronic Technology Co., LTD, y Partner Tech (Shanghai) Co., Ltd. El programa malicioso tiene como objetivo servidores con Microsoft SQL Server y MySQL, dijo Kaspersky Lab, ya que a menudo son servidores orientados a Internet con acceso a dispositivos de red privados como cámaras basadas en IP y DVRs.

"El aporte del autor de malware de habla china con acceso a certificados de firma de código robados, con la capacidad de extraer código ofensivo de win32 de múltiples proyectos ofensivos eficaces contra servidores MSSQL en todo el mundo y la capacidad de portar código para su propagación en plataformas cruzadas, introduce un paso adelante de las operaciones de los novatos, estancadas, pero destructivas en la botnet Mirai de 2016", explicó Kaspersky Lab. "Introduce los nuevos sistemas y redes disponibles para la propagación de los bots de Mirai. Y demuestra la lenta maduración de Mirai ahora que la fuente está disponible públicamente."

Los ataques ocurren en etapas, dijeron los investigadores de Kaspersky Lab, e incluyen la exploración y ataques de recursos en línea para descargar código malicioso e instrucciones adicionales. La mayoría de los componentes son cooptados de otros recursos y ataques, informaron los investigadores.

Las variantes de Mirai han aparecido en flujos constantes desde que el código fuente se hizo público el pasado mes de octubre, semanas antes de que un ataque DDoS a gran escala impulsado por dispositivos comprometidos eliminara el proveedor de DNS Dyn. Desde entonces, otra botnet basada en Linux se dirigió credenciales telnet débiles y se comunicó con dispositivos hackeados a través de IRC. En noviembre, una variante de Mirai fue culpada por un ataque DDoS que tiró cerca de 1 millón de enrutadores DSL de Deutsche Telekom. El código fuente de Mirai también ha dado vida nueva al DDoS como una industria de servicios, ya que el código Mirai no se convierte fácilmente en una máquina con fines de lucro sin alguna experiencia previa.

Fuente: ThreatPost ER

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT