Comparte en:

Una nueva botnet se dirige activamente a dispositivos IoT usando payloads compilados para una docena de arquitecturas de CPU. Posteriormente usa estos payloads para lanzar varios tipos de DDoS y difundir diferentes tipos de malware.

La botnet ha sido llamada Dark Nexus por los investigadores de Bitdefender. Estos investigadores descubrieron que ha pasado por un proceso de desarrollo muy rápido desde que se descubrió inicialmente.

Se publicaron alrededor de 40 versiones diferentes (desde la versión 4.0 a la 8.6), incluidas nuevas funciones y mejoras. Esto entre diciembre de 2019 y marzo de 2020, según el informe de Bitdefender.

Según las cadenas que se encuentran en los archivos binarios de bot y los nombres de los archivos binarios de bot, el malware probablemente fue creado por greek.Helios. Este es un un conocido desarrollador de botnet que anuncia y vende servicios DDoS y código de botnet desde al menos 2017.

Una amenaza creciente

Si bien el malware reutiliza partes del código fuente de Qbot y Mirai, el desarrollador de Dark Nexus ha creado sus propios módulos principales. Estos módulos incluyen capacidades que le permiten entregar payloads personalizados para 12 arquitecturas de CPU diferentes.

“En términos de dispositivos que parecen estar comprometidos por dark_nexus, la lista es bastante extensa. Desde varios modelos de enrutadores, como Dasan Zhone, Dlink y ASUS, hasta grabadoras de video y cámaras térmicas”, explican los investigadores.

Para encontrar otros dispositivos IoT para infectar y para reportar nuevas incorporaciones a la botnet, Dark Nexus ahora usa escáneres Telnet síncronos para enviar payloads. También usa escáneres asíncronos para reportar credenciales al servidor de comando y control.

Dark Nexus utiliza relleno de credenciales Telnet y exploits diseñados para explotar varias vulnerabilidades de seguridad y comprometer una larga lista de modelos de enrutadores.

En el pasado, observamos que el malware usaba la ejecución remota de código (RCE) y las vulnerabilidades de inyección de comandos dirigidas a varios dispositivos.

Según las direcciones IP que intentaron ataques desde Dark Nexus contra los honeypots de Bitdefender, la botnet actualmente está compuesta por alrededor de 1,372 bots.

Sin embargo, dado el rápido ritmo de actualización y la gran cantidad de posibles objetivos de IoT que pueden verse comprometidos, esta botnet puede crecer en tamaño muy rápidamente.

“Es probable que se agreguen más modelos de dispositivos a medida que el desarrollo dark_nexus continúe”, afirmaron los investigadores de Bitdefender.

Ataques DDoS peculiares

“El código de inicio del bot se parece al de Qbot: se bifurca varias veces, bloquea varias señales y se separa de la terminal”.

“Luego, en la línea de Mirai, se une a un puerto fijo (7630), asegurando que una sola instancia de este bot pueda ejecutarse en el dispositivo. El bot intenta disfrazarse cambiando su nombre a ‘/ bin/busybox’. Otra característica tomada de Mirai es la desactivación del watchdog mediante llamadas periódicas ioctl en el dispositivo virtual”.

Como también descubrió Bitdefender, Dark Nexus utiliza un sistema de puntuación basado en pesos y umbrales. Está diseñado para evaluar el riesgo que representan los procesos que se ejecutan en los dispositivos comprometidos.

El malware luego utiliza un módulo ‘asesino’. Este finaliza automáticamente los procesos que considera peligrosos que no están en una lista blanca de procesos que ha generado desde la infección del dispositivo.

Los ataques que se pueden lanzar usando la botnet son ataques DDoS estándar que también se ven en muchas otras botnets. Empero, una de las variantes compatibles de DDoS, también puede pedir a Dark Nexus que intente disfrazar el tráfico malicioso que lanza al objetivo. Es tráfico HTTP diseñado para imitar el tráfico del navegador web.

Proxies SOCKS5

Bitdefender también descubrió que Dark Nexus presenta un módulo proxy SOCKS5 desde la versión 5.0. Sin embargo, no está claro la razón por la que se incluyó.

“dark_nexus no es la primera red de bots en tener una función de este tipo. Las redes de bots TheMoon, Gwmndy, Omg y una cierta variante de Mirai han tenido antes proxies socks5 “, afirman los investigadores.

“Una posible motivación sería vender acceso a estos servidores proxy en foros clandestinos. Sin embargo, todavía no hemos encontrado evidencia de esto”.

Para ganar persistencia en los dispositivos comprometidos, las versiones anteriores del malware ni siquiera intentaron las tácticas probadas y utilizadas por otras botnets. En cambio, se eliminaron los permisos de los ejecutables utilizados para reiniciar los dispositivos infectados.

Las iteraciones más recientes del malware utilizan un script de persistencia. Este escribe conjuntos de comandos utilizados para la inicialización automática en los archivos /etc/init.d/rcS o /home/start.sh. Dark Nexus también borra todas las reglas de iptables para asegurarse de que las comunicaciones C&C y los payloads DDoS no se filtren.

Contramedidas

Para defender tus dispositivos IoT contra los ataques lanzados por la botnet Dark Nexus debes realizar algunas acciones sencillas.  Por ejemplo, debes cambiar inmediatamente tus credenciales de administrador predeterminadas y deshabilitar el acceso remoto a través de Internet.




0 Comments

Deja un comentario