Los investigadores de Trend Micro descubrieron una nueva versión de Mirai, una de las familias de malware de IoT más activas y peligrosas que se dirige a los dispositivos de IoT, como cámaras IP, enrutadores domésticos y DVR, aprovechando los puertos abiertos y las credenciales predeterminadas, explotando vulnerabilidades tanto reveladas como no reveladas y agrega equipos comprometidos en la red de botnet para realizar ataques distribuidos de denegación de servicio (DDoS).
Una de las características más distintivas de esta nueva muestra es el uso de la red Tor para ocultar sus servidores de comando y control y evitar la detección. Si bien las variantes de Mirai generalmente tienen de uno a cuatro servidores C&C, los investigadores han encontrado 30 direcciones IP codificadas en la nueva muestra.
"Al ejecutar la muestra que teníamos, envió una secuencia específica de" 05 01 00 ", un mensaje de protocolo de enlace inicial de socks5. A continuación, enviamos el mensaje a los servidores y obtuvimos la respuesta “05 00” de socks5 de la mayoría de las direcciones, confirmando que eran proxies de socks para la red Tor. Esto también se verificó con un escaneo de Shodan, ya que los resultados de búsqueda mostraron que los proxies de los sockets se ejecutaban en los servidores ”, se lee en el informe.
Según Trend Micro, el malware selecciona un servidor aleatorio de una lista como proxy y establece la conexión con socks5 y lo consulta para retransmitir paquetes a un servidor C&C con la dirección nd3rwzslqhxibkl7 [.] onion: 1356 en Tor. Si la conexión falla, el malware intenta conectarse usando otros proxies.
Al igual que con otras variantes de Mirai conocidas, la nueva versión tiene sus valores de configuración cifrados por XOR con 0x22 (34) e incrustados en su binario. Además, busca direcciones IP aleatorias con los puertos TCP 9527 y 34567 en busca de cámaras IP y DVR expuestas que estén listas para ser tomadas. Además, su configuración contiene una lista de credenciales predeterminadas que pueden utilizarse para comprometer otros hosts.
"Si bien ha habido informes anteriores de otro malware que tiene sus C&C ocultos en Tor, vemos esto como un posible precedente para otras familias de malware IoT en evolución. Debido al entorno disponible de Tor, el servidor permanece anónimo, por lo tanto, no se puede identificar al creador del malware y / o al propietario de C&C. Del mismo modo, el servidor sigue ejecutándose a pesar del descubrimiento, el tráfico de red puede enmascararse como legítimo y permanece encriptado, y puede que no esté necesariamente en la lista negra debido a otros posibles usos legítimos para Tor ", concluyeron los investigadores.
IOC
- nd3rwzslqhxibkl7[.]onion:1356 C&C server
- hxxp://185[.]100[.]84[.]187/t/ Disease vector
- hxxp://89[.]248[.]174[.]198/main/ Disease vector
