Hace un par de días conocimos la existencia de una nueva amenaza IoT considerablemente más elaborada que cualquiera de las detectadas hasta la fecha (http://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/), dicha botnet ha sido bautizada por Netlab 360 como IotReaper. Así pues, desde el laboratorio de malware de S2 Grupo hemos obtenido y analizado algunas de las muestras relacionadas.
Infraestructura
La infraestructura de la red es bastante similar a la de la botnet Mirai, siendo formada ésta por cuatro elementos:
- Servidor Report: Encargado de recolectar la información remitida por los bots.
- Servidor Downloader: Encargado de proporcionar las samples del malware vía HTTP. La presencia de elemento permite la continua incorporación de actualizaciones sin necesidad de dejar en desuso versiones anteriores del malware.
- Servidor C2: Encargado de remitir las órdenes de denegación de servicio.
- Bot: Dispositivo IoT infectado por la botnet IotReaper.