La botnet Wicked usa exploits para atacar dispositivos IoT

23/05/2018

Otra variante de la botnet Mirai ha aparecido en escena, pero esta tiene una particularidad: el código está compuesto por al menos tres exploits dirigidos a dispositivos IoT sin parches, incluyendo cámaras de circuito cerrado y enrutadores Netgear. También se encuentra vinculada con una red de otras botnets, creadas para ataques DDoS, que provienen de un actor único de amenazas.

El malware original de Mirai usó intentos de fuerza bruta tradicionales para obtener acceso a dispositivos conectados con el fin de tomar control, pero la botnet Wicked, llamada así por el controlador elegido por su autor, prefiere ir por la vía de la explotación para obtener acceso.

El equipo de FortiGuard Labs de Fortinet analizó la botnet y descubrió que los exploits que utiliza corresponden a los puertos usados.

"Escanea los puertos 8080, 8443, 80 y 81 iniciando una conexión SYN de socket básica; si se establece una conexión, intentará explotar el dispositivo y descargar su carga útil", explicaron los investigadores Rommel Joven y Kenny Yang, en el análisis. "Esta actividad la logra escribiendo las cadenas de exploits en el socket. El exploit que se utilizará depende del puerto específico al que el bot pudo conectarse ".

Específicamente, el puerto 8080 trae un exploit para un defecto en los enrutadores Netgear DGN1000 y DGN2200 v1 (utilizados también por la botnet Reaper); una conexión al puerto 81 hace uso de un defecto de ejecución de código remoto en CCTV-DVR (camáras de circuito cerrado); las conexiones al puerto 8443 utilizan un exploit de inyección de comandos para los enrutadores Netgear R7000 y R6400 (CVE-2016-6277); y el puerto 80 interactúa con una línea de comandos en servidores web comprometidos. Este último no explota directamente el dispositivo, sino que aprovecha los servidores web comprometidos con webshells maliciosas ya instalados.

"Dado que muchos malware IoT (por ejemplo, Mirai) ya han atacado dispositivos mediante ataques con contraseñas predeterminadas o ataques de fuerza bruta, los nuevos ataques como el bot Wicked se ven obligados a tomar una opción diferente como el uso de exploits para ser efectivos", explicó Joven, en una entrevista con Threatpost.

También descubrieron que Wicked es una botnet que se usa para descargar otra botnet. En lugar de solo equipar a Wicked con la capacidad de realizar cualquier acción que quiera el criminal detrás del bot, el autor separó la distribución y su carga útil.

"Esto también tiene ventajas en el desarrollo para evadir la detección", señaló Joven. "Lo mismo ocurre con otro tipo de malware (por ejemplo, ransomware) que utiliza un documento o script para descargar la carga útil del ransomware".

Una red de botnets

Los analistas también descubrieron que el bot Wicked está conectado a otras botnets basadas en Mirai; de hecho, en términos de cargas útiles, Wicked está diseñado para descargarlos. Lo que les permitió identificar al autor detrás del bot Wicked.

Básicamente siguieron un rastro de migas de pan: en primer lugar, el código del bot Wicked contiene una cadena llamada "SoraLOADER", que parece indicar que es un método para propagar la botnet Sora, otra variante de Mirai.

Sin embargo, el sitio web malicioso que alberga el código malicioso contiene el nombre "Owari", que es el nombre de otra variante de Mirai.

Adicionalmente, la carga útil proporcionada no es Owari en absoluto, sino más bien el bot Omni, cuyo código puede usarse para ataques DDoS similares a los de Mirai.

"Al momento del análisis, las muestras de bots Owari ya no se podían encontrar en el directorio del sitio web", explicaron los investigadores. "[Sin embargo], comprobamos dos veces el histórico del sitio web malicioso y confirmamos que anteriormente proporcionaba el botnet Owari".

Por lo tanto, parece que Omni, Owari y Sora están todos conectados al bot Wicked.

"Proporcionando diferentes entradas en el directorio /bins del sitio web, encontramos otras muestras de Omni, que de acuerdo con los reportes se descargan utilizando la vulnerabilidad GPON (CVE-2018-10561)", dijeron los investigadores. "Las cargas útiles se actualizan regularmente, como lo muestra su evolución en el tiempo".

Interrelacionando esta conexión con una entrevista realizada en abril pasado por NewSky Security, los investigadores pudieron rastrear el nuevo bot hasta un autor con el seudónimo "Wicked" en el que se confirma a sí mismo como el autor tanto de Sora como de Owari.

"Aparentemente, como se vio en el repositorio /bins, las muestras de botnet Sora y Owari han sido abandonadas y reemplazadas por Omni", dijo Young y Yang de Fortinet. "Esto también nos lleva a la conclusión de que, si bien el bot Wicked originalmente estaba destinado a entregar la botnet Sora, más tarde fue reutilizado para servir a los proyectos posteriores del autor".

Sean Newman, director de gestión de productos de Corero Network Security, dijo por correo electrónico que aunque la propagación de las variantes de Mirai no es sorprendente, dado que el código fuente se filtró hace dos años, "la sugerencia de que los hackers no hacen las cosas bien todas las veces, con algunas variantes aparentemente abandonadas antes de ser usadas activamente, es interesante y preocupante ".

Añadió: "El hecho de que los actores maliciosos puedan incluso experimentar con su innovación en internet en sistemas activos, sin ser detectados, resalta aún más la magnitud del desafío que presenta la mala postura en seguridad de los dispositivos IoT".

Artículos relacionados: