La botnet Gafgyt plantea trucos DDoS de Mirai - Calendae | Informática, Electrónica, CMS, Ciberseguridad

La botnet Gafgyt plantea trucos DDoS de Mirai

Hola y mil gracias por leerme. Te escribe Eduardo Arroyo y en el día de hoy te voy a hablar sobre La botnet Gafgyt plantea trucos DDoS de Mirai

Gafgyt Botnet plantea trucos DDoS de Mirai

El malware dirigido a IoT también ha agregado nuevas vulnerabilidades para el compromiso inicial, para dispositivos Huawei, Realtek y Dasan GPON.

Varias variantes de la familia de malware de botnets Gafgyt basada en Linux incorporaron código de la infame botnet Mirai, encontraron los investigadores.

Gafgyt (también conocido como Bashlite) es una botnet descubierta por primera vez en 2014. Se dirige a dispositivos vulnerables de Internet de las cosas (IoT) como enrutadores Huawei, enrutadores Realtek y dispositivos ASUS, que luego utiliza para lanzar denegación de servicio ampliamente distribuida. (DDoS). Además, a menudo utiliza vulnerabilidades conocidas como CVE-2017-17215 y CVE-2018-10561 para descargar cargas útiles de la siguiente etapa a los dispositivos infectados.

Las últimas variantes ahora han incorporado varios módulos basados ​​en Mirai, según una investigación de Uptycs lanzado el jueves, junto con nuevas hazañas. Las variantes de Mirai y la reutilización del código relacionado se han vuelto más voluminosas desde que se lanzó el código fuente de la botnet de IoT en octubre de 2016.

Las capacidades robadas por Mirai incluyen varios métodos para realizar ataques DDoS, según la investigación:

  • Inundación HTTP, donde la botnet envía una gran cantidad de solicitudes HTTP a un servidor de destino para abrumarlo;
  • UDP Flooding, donde la botnet envía varios paquetes UDP a un servidor víctima como un medio para drenarlo;
  • Varios ataques de inundación de TCP, que utilizan un protocolo de enlace TCP de tres vías normal, hacen que el servidor de la víctima reciba una gran cantidad de solicitudes, lo que hace que el servidor no responda;
  • Es un módulo STD, que envía una cadena aleatoria (desde una matriz de cadenas codificada) a una dirección IP en particular.

Comparación de código para el módulo HTTP DDoS entre Gafgyt y Mirai. Click para agrandar. Fuente: Uptycs.

Mientras tanto, las últimas versiones de Gafgyt contienen nuevos enfoques para lograr el compromiso inicial de los dispositivos de IoT, descubrió Uptycs; Este es el primer paso para convertir los dispositivos infectados en bots para posteriormente realizar ataques DDoS en direcciones IP específicas. Estos incluyen un módulo copiado de Mirai para Telnet de fuerza bruta y exploits adicionales para vulnerabilidades existentes en dispositivos Huawei, Realtek y GPON.

El exploit de Huawei (CVE-2017-17215) y el exploit de Realtek (CVE-2014-8361) se utilizan para la ejecución remota de código (RCE), para recuperar y descargar la carga útil de Gafgyt, según el análisis.

«El binario de malware Gafgyt incorpora exploits RCE para enrutadores Huawei y Realtek, por lo que el binario de malware, utilizando el comando ‘wget’, recupera la carga útil», según Uptycs. «[It] otorga el permiso de ejecución de la carga útil mediante el comando ‘chmod’, [and] ejecuta la carga útil. «

El exploit GPON (CVE-2018-10561) se utiliza para eludir la autenticación en enrutadores Dasan GPON vulnerables; aquí, el binario de malware sigue el mismo proceso, pero también puede eliminar la carga útil en el comando.

«Las direcciones IP utilizadas para la recuperación de la carga útil eran generalmente los directorios abiertos donde el atacante alojaba cargas maliciosas para diferentes arquitecturas», agregaron los investigadores.

Las redes de bots de IoT como Gafgyt están en constante evolución. Por ejemplo, los investigadores en marzo descubrieron lo que dijeron que era la primera variante de la familia de botnets Gafgyt para enmascarar su actividad usando la red Tor.

Mirai tampoco ha desaparecido: recientemente se descubrió una nueva variante de botnet dirigida a una serie de vulnerabilidades en dispositivos D-Link, Netgear y SonicWall sin parches. Desde mediados de febrero, la variante se ha centrado en seis vulnerabilidades conocidas, y tres previamente desconocidas, para infectar sistemas y agregarlos a una botnet.

Es solo la última variante de Mirai que ha salido a la luz. El año pasado, se observó que una versión llamada Mukashi aprovechaba una vulnerabilidad de inyección de comandos previa a la autenticación encontrada en los dispositivos de almacenamiento Zyxel NAS.

«Es posible que los autores de malware no siempre innoven, y los investigadores a menudo encuentran que los autores de malware copian y reutilizan el código fuente del malware filtrado», dijeron los investigadores de Uptycs.

Para protegerse contra este tipo de infección de botnet, los usuarios deben monitorear regularmente los procesos sospechosos, los eventos y el tráfico de red generado al ejecutar cualquier binario que no sea de confianza, recomendaron los investigadores. Además, los usuarios deben mantener todos los sistemas y firmware actualizados con las últimas versiones y parches.

.

Puedes compartir en una historia de tu Instagram para que tus colegas lo sepan

??? ? ? ???

Comparte