Search Results for: mirai

Mirai Año Uno: Evolución y adaptación de una botnet

Desde el laboratorio de malware de S2 Grupo llevamos más de un año siguiendo los pasos del malware Mirai. El 1 de agosto de 2016 se registró la primera petición de un dispositivo infectado por esta botnet, que a pesar de no ser la primera de su especie ya que, entre otras, Gafgyt o Remaiten habían llegado antes, ha marcado un antes y un después en cuanto al conocimiento por el gran público de la dimensión que supone la amenaza de los dispositivos IoT.

Mirai provocó los dos ataques de denegación de servicio más grandes hasta la fecha; el ataque a la web de hosting OVH con más de 1 Tbps de carga (el mayor ataque registrado hasta el momento), y el ataque a Dyn, que provocó la caída de portales como Twitter, Facebook o Paypal.

A continuación se adjunta un informe que tiene como objetivo exponer muchas de las características que hemos podido registrar en la botnet y la evolución sufrida durante su año de existencia.

Para la redacción del siguiente análisis nos hemos basado en las 342 muestras pertenecientes a diferentes variantes de Mirai recolectadas a través de nuestros sistemas honeypot, así como también en la extracción de muestras y/o análisis estáticos de las plataformas detux.org, linux.huntingmalware.com y VirusTotal. En total se ha hecho uso de una población de más de 1200 muestras. Esperamos que el informe os resulte de interés.

– Descargar informe –

[Read more…]

Mirai meets OpenSSL

No es una sorpresa el hecho de que continuamente salgan a la luz nuevas variantes de Mirai, y más, estando al alcance de cualquiera el código fuente del bot, del sevidor CnC y del servidor de descarga. Sin embargo, todos tenían unas características relativamente parecidas (a excepción de la variante para Windows, claro).

El pasado 19 de marzo llegó a nosotros una nueva versión de Mirai que nos llamó la atención por su tamaño. Mientras que lo habitual es encontrarnos con binarios Mirai de alrededor de decenas de Kbs, esta nueva muestra tiene 1,6 Mbs. La conexión TELNET que precedió la descarga del binario es exactamente igual que en anteriores capturas. [Read more…]

Deutsche Telekom, uno más en la lista de Mirai

Y después de Dyn, llegó Deutsche Telekom. Si hace unos días alertábamos sobre la existencia de una nueva variante de Mirai, el pasado domingo 27 de noviembre, un ataque contra los routers de la operadora Deutsche Telekom dejó sin Internet a un gran número de alemanes, pues casi un millón de hogares se vieron afectados por el no funcionamiento de sus routers y reinicios constantes cada quince minutos.

Esta vez, Mirai atacó basándose en una vulnerabilidad en el firmware de los dispositivos que utiliza la empresa proveedora de servicios Deutsche Telekom. Esta utiliza el protocolo TR-064 asociado al puerto 7457 expuesto a todo Internet para configurar de forma remota el router. A pesar de que algunos modelos tienen restringido el acceso a direcciones IP relacionadas con el ISP, para una gran parte no es así.

Entre los comandos que ofrece el servicio está la capacidad de obtener datos como el SSID, la MAC o la clave Wi-Fi, sin embargo el exploit se basa en la posibilidad de ejecución de código remota mediante la instrucción de configuración del servidor NTP.
[Read more…]

Mirai Strikes Again

Tras provocar la caída del proveedor de soluciones DNS Dyn y, por ende, la de portales web como Twitter, Amazon o Spotify, la botnet de moda sigue expandiéndose mediante nuevos mecanismos.

Tal y como os contamos en nuestro artículo anterior sobre la detección de Mirai este verano en uno de los sensores en nuestra Honey, durante estas últimas semanas hemos podido observar como el número de conexiones diarias se ha mantenido constante, por lo que se podía determinar que el número total de dispositivos susceptibles a la infección podía estar en su máximo.

Sin embargo, la habilitación de las credenciales root:ikwb para la creación de un entorno de alta interacción en el honeypot Hontel, ha permitido la captura de un nuevo binario.
[Read more…]

DDoS Mirai: IoT contra Internet

Este post ha sido escrito en colaboración con Joan Soriano.


Y finalmente ocurrió. La red de dispositivos IoT que se llevaba expandiendo desde mediados de Agosto mediante la difusión del malware Linux Mirai, fijó el pasado viernes su objetivo en DynDNS, proveedor de soluciones DNS y, tal y como se ha comprobado, uno de los eslabones más críticos en la cadena de funcionamiento de Internet.

Así lo confirmó el pasado viernes el proveedor de servicios Level 3 Communications, el cual estaba monitorizando los ataques y cree que el 10% de las cámaras DVR y otros dispositivos infectados por Mirai estuvieron involucrados en los ataques del viernes que provocó la caída de sitios web tan conocidos como Whatsapp, Twitter, Paypal, Netflix o Github. [Read more…]

Linux.Mirai: Atacando sistemas de videovigilancia

Durante los Juegos Olímpicos de Río de Janeiro, uno de nuestros sensores en Brasil detectó una intrusión especialmente interesante en un honeypot de servicio TELNET.

Esta interacción utilizaba credenciales no habituales ya que las más recibidas fueron, a diferencia de lo que cabía esperar, xc3511 y vyzxv.

Tras una primera búsqueda no se encontró ninguna referencia a ataques relacionados con estas credenciales pero se dedujo que las credenciales son recurrentes en los dispositivos DVR (Digital Video Recorder) de la marca de origen chino Dahua (por ejemplo el DH-3004). Dahua es el principal proveedor mundial de soluciones de vigilancia, pues según el informe IMS 2015 gozan de la mayor cuota de mercado.

[Read more…]

Análisis de Linux.Okiru

Siguiendo con nuestra campaña de detección y documentación de botnets IoT, hace unos días encontramos otra amenaza no clasificada con anterioridad. Fue subida por primera vez a la plataforma VirusTotal el 3 de noviembre y solamente es detectada como maliciosa por 4 antivirus.

Durante el artículo se van a analizar dos variantes del malware, las cuales se diferencian fundamentalmente en su propagación. La primera de ellas fue detectada en nuestros sistemas honeypot (concretamente para la arquitectura SPARC). La segunda se trata de una variante de la primera, la cual fue encontrada bajo la arquitectura Intel x86_64, y de la cual el laboratorio de malware Netlab360 se hizo eco hace unos días.

Al no encontrar registros de su identificación, hemos decidido clasificarla como Linux.Okiru, debido al nombre de sus binarios.
[Read more…]

Botconf, dans la maison du botnet

El pasado 6, 7 y 8 de diciembre tuvo lugar en Montpellier la 5ª edición de la Botconf.

Durante los tres días, más de 300 personas asistieron a la conferencia de las botnets por excelencia. Las charlas fueron todas de un alto nivel y se abordaron temas que fueron desde el desarrollo de herramientas para la obtención o clasificación de malware hasta los problemas legales que pueden acarrear la publicación de ciertas evidencias en nuestros descubrimientos.

A continuación se resumen algunas de las más de veinticinco charlas expuestas:

How to Compute the Clusterization of a Very Large Dataset of Malware with Open Source Tools for Fun & Profit

La charla que dio comienzo a la conferencia expuso la necesaria automatización en la clasificación de familias de malware, dado el elevado número de muestras con las que en estos días suelen trabajar los analistas.

Así pues, se nos presentó la implementación de varios algoritmos de Deep Learning para la clusterización de datos a partir del parseo de los resultados de análisis estáticos previos, como también algunos de los problemas surgidos relacionados con la dificultad que todavía supone la gestión de la complejidad por el Big Data.
[Read more…]

Análisis de Linux.IotReaper

Hace un par de días conocimos la existencia de una nueva amenaza IoT considerablemente más elaborada que cualquiera de las detectadas hasta la fecha (http://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/), dicha botnet ha sido bautizada por Netlab 360 como IotReaper. Así pues, desde el laboratorio de malware de S2 Grupo hemos obtenido y analizado algunas de las muestras relacionadas.

Infraestructura

La infraestructura de la red es bastante similar a la de la botnet Mirai, siendo formada ésta por cuatro elementos:

  • Servidor Report: Encargado de recolectar la información remitida por los bots.
  • Servidor Downloader: Encargado de proporcionar las samples del malware vía HTTP. La presencia de elemento permite la continua incorporación de actualizaciones sin necesidad de dejar en desuso versiones anteriores del malware.
  • Servidor C2: Encargado de remitir las órdenes de denegación de servicio.
  • Bot: Dispositivo IoT infectado por la botnet IotReaper.

[Read more…]

Análisis de Linux.Helios

Desde hace varias semanas venimos detectando desde el laboratorio de malware de S2 Grupo una nueva variante de malware para arquitecturas Linux e IoT, registrado por primera vez en la plataforma VirusTotal el pasado día 18 de Octubre, y al cual hemos denominado Linux.Helios, debido al nombre de ciertas funciones presentes en la muestra.

Destacamos que las principales firmas de antivirus no clasifican de forma unánime esta muestra: van desde ELF.DDoS hasta Tsunami, pasando por Gafgyt o Mirai. [Read more…]