Seguridad al alcance de todos!


lunes, 5 de marzo de 2018

OMG: Bot basados en Mirai, vuelve a los Dispositivos de IoT en Proxys _ Fortiguard LABS.



Desde que se publicó el  código fuente de la BotNet Mirai, FortiguardLabs ha visto un número de variantes y adaptaciones escritas por múltiples autores, solo para poder ingresar al mundo del Internet de las Cosas de manera ilícita. Estas modificaciones del bot difieren de la original por haber añadido nuevas técnicas, incluyendo el uso de exploit y con un soporte mayor para nuevas arquitecturas. Fortiguard, observo que la motivación de muchas de las modificaciones a Mirai, es solo poder ganar dinero. Mirai fue originalmente diseñado para realizar ataques DDoS, pero las últimas modificaciones fueron usadas para poder minar Etherium en plataformas vulnerables.

En octubre del 2016, fue publicado un artículo por Brian Krebs, sobre como los ciber-criminales ganan dinero convirtiendo los dispositivos de IoT en Servidores Proxy. Los CiberCriminales usan proxy para ganar anonimato cuando tienen que hacer varios trabajos sucios, como robo cibernético, o hackeos a sistemas. Una de las maneras de ganar dinero con proxy es darle acceso a otros ciber-criminales. Esta es una de las motivaciones detrás de las redes botnet basadas en Mirai.

Mirai  Vs OMG


Empezaremos hablando de la tabla de configuración de OMG. La tabla originalmente esta encriptada, y fue desencriptada con 0Xdeadbeef, usando el mismo procedimiento adoptado por Mirai Original. Lo que se identificó primero, fue la cadena /bin/busybox OOMGA and OOMGA: applet not found. El nombre mirai fue dado por el string /bin/busybox MIRAI and MIRAI: applet not found, ambos son comandos para determinar si el ataque de fuerza bruta a dispositivos de la IoT fue exitoso o no. Estos string son similares con otras variantes como Satori/Okiru, Masuta. etc.

Por esa razón Fortiguard, decidió llamar a esa variante OMG.

Esta variante solo añade y remueve algunas configuraciones que pueden ser encontradas en la versión original de Mirai. Las dos cadenas añadidas son usadas para añadir una regla al firewall que permita trafico en dos puertos aleatorios.


Se puede observar como OMG guarda los módulos originales, incluyendo modulo de ataque, eliminación y SCAN.


 Después de iniciar el modulo, OMG procede a conectarse a un C&C (Comando y control) server. Este intenta conectarse a "ccnew.mm.my" a la IP 188.138.125.235.


Desafortunadamente para la gente de Fortiguard el C&C server no respondo cuando hicieron sus análisis.

Cuando Conecta, OMG envía un mensaje definido (0X00000000) al C&C para identificarse como nuevo Bot ( una especie de registro)


 Basado en el código recibe un string de 5 byte de largo, con el primer usado para determinar como va a ser usado el BOT. Los valores podrian ser 0 para el uso como Proxy y el 1 para atacar.



OMG usando 3Proxy

Esta variante de mirai usa 3Proxy, un software opensource, de servicios proxy. Se configura inicialmente generando dos puertos random, los cuales son http_proxy_port y socks_proxy_port. El número de puerto de cada uno de estos es generado por el C&C.

Una regla de firewall es añadida para poder permitir el tráfico en los dos puertos creados.

TABLE_IPTABLES1 -> used to INSERT a firewall rule.
iptables -I INPUT -p tcp --dport %d -j ACCEPT;
iptables -I OUTPUT -p tcp --sport %d -j ACCEPT;
iptables -I PREROUTING -t nat -p tcp --dport %d -j ACCEPT;
iptables -I POSTROUTING -t nat -p tcp --sport %d -j ACCEPT
 
TABLE_IPTABLES2 -> used to DELETE a firewall rule.
iptables -D INPUT -p tcp --dport %d -j ACCEPT;
iptables -D OUTPUT -p tcp --sport %d -j ACCEPT;
iptables -D PREROUTING -t nat -p tcp --dport %d -j ACCEPT;
iptables -D POSTROUTING -t nat -p tcp --sport %d -j ACCEPT
 


Conclusión:


Primera vez que se observa que las modificaciones de mirai, que inicialmente estaban diseñadas para poder generar un ataque DDoS, estén siendo modificadas para prestar anonimato a otros hackers para hacer servicio de Proxy.


Información relevante


Hash de 6 archivos detectados como variantes de Mirai


9110c043a7a6526d527b675b4c50319c3c5f5c60f98ce8426c66a0a103867e4e

a5efdfdf601542770e29022f3646d4393f4de8529b1576fe4e31b4f332f5cd78

d3ed96829df1c240d1a58ea6d6690121a7e684303b115ca8b9ecf92009a8b26a

eabda003179c8499d47509cd30e1d3517e7ef6028ceb347a2f4be47083029bc6

9b2fe793ed900e95a72731b31305ed92f88c2ec95f4b04598d58bd9606f8a01d

2804f6cb611dc54775145b1bb0a51a19404c0b3618b12e41b7ea8deaeb9e357f

CC

54.234.123.22
ccnew.mm.my
rpnew.mm.my

Compartir:

Siguenos en Facebook

Patagonia Hacking

Etiquietas

4GLTE ACS Actualidad Actualizaciones ADB Adblocker Adguard Adobe Adware Amazon AMD Analitica Android AndroidP Annabelle App Store Apple Argentina ARM ARPSpoofing ASA Assa Abloy Asus ATM Auditoria Australia Auth0 Avast Aviso AWS Azure Sphere backdoor Banco de Chile Bancos Banking Bitcoins Blackberry BlackEnergy Blizzard BlockChain Botnet Brambul Bromas Bug Bug Bounty Cambridge Analytica Cambrige Analytica CannibalRAT CERT Certificados Challenge Chile China Chrome CIA CiberAtaques CiberCrimen CiberEjercito CiberEspionaje CiberGuerra CiberSeguridad Cifrado Cisco Cisco DNA Cisco Talos CloudFlare Coca-Cola CoinHive Colegio Combojack Copiapo Corfo Correo correos Cortana CredSSP Criptografía Criptomonedas CryptoMonedas Cryptovirus CSP CVE Cyberbit D-Link DASAN Database Databreach DDOS DefaultPassword Defensa DHCP DHS DigiCert Digital Shadows Dmitri Kaslov DNS DNS Spoofing Dockers Dofoil Doppelganging DPI DrayTek dropbox Drupal Drupalgeddon DrWeb EarlyBird Eclypsium Educación eFail EFF Electron Electroneum Equifax ESNIC Espionaje EstadosUnidos Etherium Ethical Hacking Europol Excel Exploit Exposición de Datos Extensión Chrome F5 Facebook Falla Fallo FBI FBS FedEx Fingerprint Finlandia Firebase Firewall FlawsCloud FlightRadar24 FortiGuard Fortinet Fortnite GandCrab Git GitHub Google google chrome Google Drive Google Play Google Proyect Zero Gpg Gpon Hackers Hacking hcsshim HDD Hidden Cobra Hispasec Hoteles HTTP Injector Huawei IBM idleBuddy IE Ingenieria Social Instagram Intel Internet InternetExplorer IonCube iOS Iot Iran Irán ISO/IEC JavaScript Joanap JSCRIPT Juegos Junos OS Kali Kane Gamble Karim Baratov Kaspersky KillDisk Kronos leaks Lenovo linkedin Linux Luka MAC MacOS Magento Mails Malware MalwareHunterTeam MalwareTech MBR MBRLock McAfee Medicina Meltdown Memcached Microsoft Mikrotik Millennials Mirai MitM Mobef Monero Mozilla Municipios My Cloud MySql NanoCore Nas Netflix Neutralidad Never Defender NewSky Security Nintendo Noticias Noticias. NSA NTLM NYT OceanLotus Office Omni OpenSSL Oracle OrangeWorm Outlook Owari OWASP PDF PenTestPartner PGP Phishing PHP PoC PornHub PowerHammer Privacidad Profinet PsicoHacking Python Qihoo360 QNAP Radware ransomware RAT RBL RCE RDP Recompensas Reconocimiento Facial RedDrop Redes RedHat RGPD Roaming Mantis Router Routers Rumanía. Rusia Salud SAMBA Samsung SAP Satori Saturn SCADA screenlocker ScreenOS SecurityList Segurdad Seguridad Seguridad Informatica Sev shodan Signal Sistemas Operativos SiteLock skype SlingShot SMB SMIME SMM Softzone Sonido Sophos Sora Spam Spectre Squid SSLER StalinLocker Switches SWITF Symantec Taiwan Tecnologia Telegram The Shadow Brokers TheMoon ThunderBird TLS Tor Torrent Transmission TrendMicro Troyanos Trustico TrustJacking Tutorial Twitter Ubiquiti Ubuntu UltraSonido Unix UPnP Noticias UPVel Utorrent Vault7 videojuegos VingCard Virus VM VPN VPNFilter VPNHub VRP Vulnerabilidad Vulnerabilidades Wandera WannaCry Watchguard WaveThrough Webinars WeChat Western Digital WhatsApp Wicked WIFI Windows Windows 10S Windows Defender Windows Remote Assistance Windows Vulnerabilidad WindowsUpdate WinstarNssmMiner Wireless Ruckus WordPress WPA3 wpscan XSS Yahoo Youtube Z-shave Z-wave ZDI ZeroDays ZeroFont ZTE

Historial

Vistas a la página totales