El equipo de investigación de amenazas de la empresa de ciberseguridad Uptycs ha descubierto varias variantes de la familia de malware de botnet basado en Linux de Gafgyt que toman prestados algunos códigos, técnicas e implementaciones de la infame botnet Mirai.
Descubierto por primera vez en 2014, Gafgyt (también conocido como Bashlite) generalmente apunta a dispositivos IoT vulnerables, como enrutadores Huawei, enrutadores Realtek y dispositivos ASUS. También utiliza algunos de los exploits existentes ( CVE-2017-17215 , CVE-2014-8361 ) para descargar las cargas útiles de la siguiente etapa.
"Las variantes de malware de Gafgyt tienen una funcionalidad muy similar a Mirai, ya que se copió la mayor parte del código", dijeron los investigadores.
En cuanto a las últimas versiones de Gafgyt, se ha descubierto que incluyen varios métodos para llevar a cabo ataques DDoS: inundación HTTP, inundación UDP, inundación TCP y el módulo STD, que envía una cadena aleatoria (desde una matriz de cadenas codificada) a una dirección IP particular.
Las versiones recientes de Gafgyt también incorporan un escáner de telnet con capacidad de realizar fuerza bruta, copiado desde Mirai, así como el exploit GPON ( CVE-2018-10561 ), que se utiliza para eludir la autenticación en enrutadores Dasan GPON vulnerables.
El binario de malware Gafgyt incorpora exploits RCE para enrutadores Huawei y Realtek, mediante los cuales el binario de malware, utilizando el comando 'wget', obtiene la carga útil ”, dijeron los investigadores. "[Da] permiso de ejecución para la carga útil mediante el comando 'chmod', [y] ejecuta la carga útil".
“Es posible que los autores de malware no siempre innoven, y los investigadores a menudo descubren que los autores de malware copian y reutilizan el código fuente de malware filtrado”, dijo Uptycs.
Para prevenir este tipo de ataques, los usuarios deben monitorear regularmente los procesos sospechosos, los eventos y el tráfico de red generado por la ejecución de cualquier binario que no sea de confianza, y mantener los sistemas y el firmware actualizados con las últimas versiones y parches.
https://www.uptycs.com/blog/mirai-code-re-use-in-gafgyt
