OMG: Bot basados en Mirai, vuelve a los Dispositivos de IoT en Proxys _ Fortiguard LABS.



Desde que se publicó el  código fuente de la BotNet Mirai, FortiguardLabs ha visto un número de variantes y adaptaciones escritas por múltiples autores, solo para poder ingresar al mundo del Internet de las Cosas de manera ilícita. Estas modificaciones del bot difieren de la original por haber añadido nuevas técnicas, incluyendo el uso de exploit y con un soporte mayor para nuevas arquitecturas. Fortiguard, observo que la motivación de muchas de las modificaciones a Mirai, es solo poder ganar dinero. Mirai fue originalmente diseñado para realizar ataques DDoS, pero las últimas modificaciones fueron usadas para poder minar Etherium en plataformas vulnerables.

En octubre del 2016, fue publicado un artículo por Brian Krebs, sobre como los ciber-criminales ganan dinero convirtiendo los dispositivos de IoT en Servidores Proxy. Los CiberCriminales usan proxy para ganar anonimato cuando tienen que hacer varios trabajos sucios, como robo cibernético, o hackeos a sistemas. Una de las maneras de ganar dinero con proxy es darle acceso a otros ciber-criminales. Esta es una de las motivaciones detrás de las redes botnet basadas en Mirai.

Mirai  Vs OMG


Empezaremos hablando de la tabla de configuración de OMG. La tabla originalmente esta encriptada, y fue desencriptada con 0Xdeadbeef, usando el mismo procedimiento adoptado por Mirai Original. Lo que se identificó primero, fue la cadena /bin/busybox OOMGA and OOMGA: applet not found. El nombre mirai fue dado por el string /bin/busybox MIRAI and MIRAI: applet not found, ambos son comandos para determinar si el ataque de fuerza bruta a dispositivos de la IoT fue exitoso o no. Estos string son similares con otras variantes como Satori/Okiru, Masuta. etc.

Por esa razón Fortiguard, decidió llamar a esa variante OMG.

Esta variante solo añade y remueve algunas configuraciones que pueden ser encontradas en la versión original de Mirai. Las dos cadenas añadidas son usadas para añadir una regla al firewall que permita trafico en dos puertos aleatorios.


Se puede observar como OMG guarda los módulos originales, incluyendo modulo de ataque, eliminación y SCAN.


 Después de iniciar el modulo, OMG procede a conectarse a un C&C (Comando y control) server. Este intenta conectarse a "ccnew.mm.my" a la IP 188.138.125.235.


Desafortunadamente para la gente de Fortiguard el C&C server no respondo cuando hicieron sus análisis.

Cuando Conecta, OMG envía un mensaje definido (0X00000000) al C&C para identificarse como nuevo Bot ( una especie de registro)


 Basado en el código recibe un string de 5 byte de largo, con el primer usado para determinar como va a ser usado el BOT. Los valores podrian ser 0 para el uso como Proxy y el 1 para atacar.



OMG usando 3Proxy

Esta variante de mirai usa 3Proxy, un software opensource, de servicios proxy. Se configura inicialmente generando dos puertos random, los cuales son http_proxy_port y socks_proxy_port. El número de puerto de cada uno de estos es generado por el C&C.

Una regla de firewall es añadida para poder permitir el tráfico en los dos puertos creados.

TABLE_IPTABLES1 -> used to INSERT a firewall rule.
iptables -I INPUT -p tcp --dport %d -j ACCEPT;
iptables -I OUTPUT -p tcp --sport %d -j ACCEPT;
iptables -I PREROUTING -t nat -p tcp --dport %d -j ACCEPT;
iptables -I POSTROUTING -t nat -p tcp --sport %d -j ACCEPT
 
TABLE_IPTABLES2 -> used to DELETE a firewall rule.
iptables -D INPUT -p tcp --dport %d -j ACCEPT;
iptables -D OUTPUT -p tcp --sport %d -j ACCEPT;
iptables -D PREROUTING -t nat -p tcp --dport %d -j ACCEPT;
iptables -D POSTROUTING -t nat -p tcp --sport %d -j ACCEPT
 


Conclusión:


Primera vez que se observa que las modificaciones de mirai, que inicialmente estaban diseñadas para poder generar un ataque DDoS, estén siendo modificadas para prestar anonimato a otros hackers para hacer servicio de Proxy.


Información relevante


Hash de 6 archivos detectados como variantes de Mirai


9110c043a7a6526d527b675b4c50319c3c5f5c60f98ce8426c66a0a103867e4e

a5efdfdf601542770e29022f3646d4393f4de8529b1576fe4e31b4f332f5cd78

d3ed96829df1c240d1a58ea6d6690121a7e684303b115ca8b9ecf92009a8b26a

eabda003179c8499d47509cd30e1d3517e7ef6028ceb347a2f4be47083029bc6

9b2fe793ed900e95a72731b31305ed92f88c2ec95f4b04598d58bd9606f8a01d

2804f6cb611dc54775145b1bb0a51a19404c0b3618b12e41b7ea8deaeb9e357f

CC

54.234.123.22
ccnew.mm.my
rpnew.mm.my