 |
| Imagen de fondo creada por Kjpargeter. Obtenida de Freepik.com |
La liberación del código fuente del la botnet Mirai ha dado a luz todo tipo de variantes con su propio arsenal de funcionalidades específicas. En previas UAD hemos hablado de como explotaban vulnerabilidades en dispositivos Huawei, usaban contraseñas por defecto en ZyXel o atacaban a software de minado.
 |
| Diagrama de funcionamiento de OMG. Obtenida de Fortinet |
 |
| Detalle de la configuración para elección de modo. Obtenida de Fortinet |
Una vez infectado el dispositivo, OMG comunica la infección al servidor C&C, que le responde con un valor que especifica su finalidad. El valor 0 le indica al bot que va a ser usado como servidor proxy. Para ello selecciona dos puertos al azar ('http_proxy_port' y 'socks_proxy_port'), que son comunicados al servidor C&C, y configura una regla de firewall para permitir el trafico a través de ellos. Una vez lista la configuración, ejecuta un servidor proxy usando el software de código abierto 3proxy.
Esta variante ha sido descubierta por un equipo de investigadores de Fortinet. Según ellos, la posible motivación de esta funcionalidad es el cobro por el uso de la red de proxies:
Cybercriminals use proxies to add anonymity when doing various dirty work such as cyber theft, hacking into a system, etc. One way to earn money with proxy servers is to sell the access to these servers to other cybercriminals. This is what we think the motivation is behind this latest Mirai-based bot.En su post se cubre en más detalle el funcionamiento y se aportan IOCs. Precisamente un miembro del equipo, Dario Durando, estará esta semana en la RootedCon con una charla llamada "IoT: Battle of Bots" donde cubrirá las diferentes variantes de Mirai aparecidas.
Francisco López
flopez@hispasec.com
Más información:
OMG: Mirai-based Bot Turns IoT Devices into Proxy Servershttps://www.fortinet.com/blog/threat-research/omg--mirai-based-bot-turns-iot-devices-into-proxy-servers.html
No hay comentarios:
Publicar un comentario