D-Link, dispositivos IoT atacados por la variante Gafgyt basada en Tor - Calendae | Informática, Electrónica, CMS, Ciberseguridad

D-Link, dispositivos IoT atacados por la variante Gafgyt basada en Tor

Hola otra vez. Te habla Eduardo Arroyo y hoy vamos a hablar sobre D-Link, dispositivos IoT atacados por la variante Gafgyt basada en Tor

D-Link, dispositivos IoT atacados por la variante Gafgyt basada en Tor

Una nueva variante de la botnet Gafgyt, que se dirige activamente a dispositivos vulnerables de D-Link e Internet of Things, es la primera variante del malware que depende de las comunicaciones Tor, dicen los investigadores.

Los investigadores han descubierto lo que dicen es la primera variante de la familia de botnets Gafgyt que enmascara su actividad usando la red Tor.

Gafgyt, una botnet descubierta en 2014, se ha hecho famosa por lanzar ataques de denegación de servicio distribuido (DDoS) a gran escala. Los investigadores descubrieron por primera vez la actividad de la variante más nueva, a la que llaman Gafgyt_tor, el 15 de febrero.

Para evadir la detección, Gafgyt_tor usa Tor para ocultar sus comunicaciones de comando y control (C2) y encripta cadenas sensibles en muestras. El uso de Tor por familias de malware no es nada nuevo; sin embargo, los investigadores dijeron que no habían visto a Gafgyt explotar la red de anonimato hasta ahora.

«En comparación con otras variantes de Gafgyt, el mayor cambio de Gafgyt_tor es que la comunicación C2 se basa en Tor, lo que aumenta la dificultad de detección y bloqueo», dijeron los investigadores de NetLab 360. el jueves. «El mecanismo de comunicación C2 basado en Tor se ha visto en otras familias que hemos analizado antes … pero esta es la primera vez que lo encontramos en la familia Gafgyt».

La botnet se propaga principalmente a través de contraseñas Telnet débiles, un problema común en los dispositivos de Internet de las cosas, y aprovechando tres vulnerabilidades. Estas vulnerabilidades incluyen una falla de ejecución de código remoto (CVE-2019-16920) en dispositivos D-Link; una vulnerabilidad de ejecución remota de código en el software Liferay Company Portal (para la cual no hay CVE disponible); y un defecto (CVE-2019-19781) en Citrix Application Delivery Controller.

Los investigadores dijeron que la estructura del código de la función principal de Gafgyt_tor, que agrega la función de proxy Tor para proporcionar la dirección del servidor IP, muestra cambios generalizados.

«La función initConnection () original, que es responsable de establecer la conexión C2, se ha ido, reemplazada por una gran sección de código responsable de establecer la conexión Tor», dijeron.

Dentro de esta gran sección de código existe tor_socket_init, una función responsable de inicializar una lista de nodos proxy con direcciones IP y un puerto. Los investigadores dijeron que se pueden crear más de 100 proxies Tor de esta manera, y nuevas muestras actualizan continuamente la lista de proxies.

La nueva estructura de código en comparación con la anterior para la variante de Gafgyt. Crédito: NetLab 360

«Después de inicializar la lista de proxy, el campeón seleccionará un nodo aleatorio de la lista para habilitar la comunicación Tor a través de tor_retrieve_addr y tor_retrieve_port», dijeron los investigadores.

Después de establecer una conexión con el C2, la botnet solicita wvp3te7pkfczmnnl.onion a través de la darknet, desde la cual espera comandos.

«La función principal de Gafgyt_tor sigue siendo el escaneo y los ataques DDoS, por lo que sigue principalmente la directiva común de Gafgyt», dijeron los investigadores. Señalaron que se ha agregado una nueva directiva llamada LDSERVER a la botnet, que permite a C2 especificar rápidamente los servidores desde los que se descargan las cargas útiles. Esto permite a los atacantes cambiar de rumbo rápidamente si se identifica y bloquea un servidor de descarga propiedad del atacante, dijeron los investigadores.

«Esta directiva significa que C2 puede cambiar dinámicamente los servidores de descarga, por lo que puede cambiar rápidamente a un nuevo servidor de descarga para continuar propagándose si el actual está bloqueado», dijeron los investigadores.

Los investigadores dijeron que la variante comparte el mismo origen con las muestras de Gafgyt distribuidas por un grupo de amenazas que los investigadores de NetLab 360 llaman grupo keksec y que otros investigadores llama al actor de la amenaza Freak. Dijeron que el grupo keksec reutiliza el código y las direcciones IP entre varias otras familias de bots, incluida la botnet Tsunami y la familia de botnets Necro descubiertas en enero.

«Creemos que Gafgyt_tor y Necro probablemente sean administrados por el mismo grupo de personas, que tienen un conjunto de direcciones IP y múltiples códigos fuente de botnets, y tienen la capacidad de desarrollo continuo», dijeron los investigadores. «En la operación real, forman diferentes familias de botnets, pero reutilizan infraestructura como la dirección IP».

Gafgyt.tor es solo la última variante de la popular botnet que ha salido a la luz. En 2019, los investigadores advirtieron sobre una nueva variante de Gafgyt que estaba agregando dispositivos IoT vulnerables a su arsenal de redes de bots y usándolos para paralizar servidores de juegos en todo el mundo.

En 2018, los investigadores afirmaron haber descubierto nuevas variantes para las redes de bots Mirai y Gafgyt IoT que apuntan a vulnerabilidades conocidas en Apache Struts y SonicWall; así como un ataque separado que lanza activamente dos campañas de botnet de IoT / Linux, explotando los errores CVE-2018-10562 y CVE-2018-10561 en los enrutadores Dasan.

Más recientemente, una botnet llamada Hoaxcalls surgió el año pasado como una variante de la familia Gafgyt. La botnet, que se puede administrar para campañas de denegación de servicio distribuido (DDoS) a gran escala, se está propagando a través de una vulnerabilidad sin parche que afecta a ZyXEL Cloud CNM SecuManager.

Echa un vistazo a nuestro gratis próximos eventos de seminarios web Online – discusiones únicas y dinámicas con expertos en ciberseguridad y la comunidad Threatpost:

24 de marzo: Economía de divulgación de día cero: lo bueno, lo malo y lo feo (¡Obtenga más información y regístrese!)
21 de abril: Mercados subterráneos: un recorrido por la economía oscura (¡Obtenga más información y regístrese!).

Puedes compartir en una historia de tu Instagram para que tus amigos lo flipen

??? ? ? ???

Comparte