ūüėé 60% Descuento:  Curso de Hacking Redes Inal√°mbricas >> Ver M√°s

Nueva botnet de IoT lanza ataques DDoS sigilosos y propaga malware

Una nueva botnet se dirige activamente a dispositivos IoT usando payloads compilados para una docena de arquitecturas de CPU. Posteriormente usa estos payloads para lanzar varios tipos de DDoS y difundir diferentes tipos de malware.

La botnet ha sido llamada Dark Nexus por los investigadores de Bitdefender. Estos investigadores descubrieron que ha pasado por un proceso de desarrollo muy rápido desde que se descubrió inicialmente.

Se publicaron alrededor de 40 versiones diferentes (desde la versi√≥n 4.0 a la 8.6), incluidas nuevas funciones y mejoras. Esto entre diciembre de 2019 y marzo de 2020, seg√ļn el informe de Bitdefender.

Seg√ļn las cadenas que se encuentran en los archivos binarios de bot y los nombres de los archivos binarios de bot, el malware probablemente fue creado por greek.Helios. Este es un un conocido desarrollador de botnet que anuncia y vende servicios DDoS y c√≥digo de botnet desde al menos 2017.

Una amenaza creciente

Si bien el malware reutiliza partes del código fuente de Qbot y Mirai, el desarrollador de Dark Nexus ha creado sus propios módulos principales. Estos módulos incluyen capacidades que le permiten entregar payloads personalizados para 12 arquitecturas de CPU diferentes.

“En t√©rminos de dispositivos que parecen estar comprometidos por dark_nexus, la lista es bastante extensa. Desde varios modelos de enrutadores, como Dasan Zhone, Dlink y ASUS, hasta grabadoras de video y c√°maras t√©rmicas”, explican los investigadores.

Para encontrar otros dispositivos IoT para infectar y para reportar nuevas incorporaciones a la botnet, Dark Nexus ahora usa escáneres Telnet síncronos para enviar payloads. También usa escáneres asíncronos para reportar credenciales al servidor de comando y control.

Dark Nexus utiliza relleno de credenciales Telnet y exploits dise√Īados para explotar varias vulnerabilidades de seguridad y comprometer una larga lista de modelos de enrutadores.

En el pasado, observamos que el malware usaba la ejecución remota de código (RCE) y las vulnerabilidades de inyección de comandos dirigidas a varios dispositivos.

Seg√ļn las direcciones IP que intentaron ataques desde Dark Nexus contra los honeypots de Bitdefender, la botnet actualmente est√° compuesta por alrededor de 1,372 bots.

Sin embargo, dado el r√°pido ritmo de actualizaci√≥n y la gran cantidad de posibles objetivos de IoT que pueden verse comprometidos, esta botnet puede crecer en tama√Īo muy r√°pidamente.

“Es probable que se agreguen m√°s modelos de dispositivos a medida que el desarrollo dark_nexus contin√ļe”,¬†afirmaron los¬†investigadores de Bitdefender.

Ataques DDoS peculiares

“El c√≥digo de inicio del bot se parece al de Qbot: se bifurca varias veces, bloquea varias se√Īales y se separa de la terminal”.

“Luego, en la l√≠nea de Mirai, se une a un puerto fijo (7630), asegurando que una sola instancia de este bot pueda ejecutarse en el dispositivo. El bot intenta disfrazarse cambiando su nombre a ‘/ bin/busybox’. Otra caracter√≠stica tomada de Mirai es la desactivaci√≥n del watchdog mediante llamadas peri√≥dicas ioctl en el dispositivo virtual”.

Como tambi√©n descubri√≥ Bitdefender, Dark Nexus utiliza un sistema de puntuaci√≥n basado en pesos y umbrales. Est√° dise√Īado para evaluar el riesgo que representan los procesos que se ejecutan en los dispositivos comprometidos.

El malware luego utiliza un m√≥dulo ‘asesino’. Este finaliza autom√°ticamente los procesos que considera peligrosos que no est√°n en una lista blanca de procesos que ha generado desde la infecci√≥n del dispositivo.

Los ataques que se pueden lanzar usando la botnet son ataques DDoS est√°ndar que tambi√©n se ven en muchas otras botnets. Empero, una de las variantes compatibles de DDoS, tambi√©n puede pedir a Dark Nexus que intente disfrazar el tr√°fico malicioso que lanza al objetivo. Es tr√°fico HTTP dise√Īado para imitar el tr√°fico del navegador web.

Proxies SOCKS5

Bitdefender también descubrió que Dark Nexus presenta un módulo proxy SOCKS5 desde la versión 5.0. Sin embargo, no está claro la razón por la que se incluyó.

“dark_nexus no es la primera red de bots en tener una funci√≥n de este tipo. Las redes de bots TheMoon, Gwmndy, Omg y una cierta variante de Mirai han tenido antes proxies socks5 “, afirman los investigadores.

“Una posible motivaci√≥n ser√≠a vender acceso a estos servidores proxy en foros clandestinos. Sin embargo, todav√≠a no hemos encontrado evidencia de esto”.

Para ganar persistencia en los dispositivos comprometidos, las versiones anteriores del malware ni siquiera intentaron las tácticas probadas y utilizadas por otras botnets. En cambio, se eliminaron los permisos de los ejecutables utilizados para reiniciar los dispositivos infectados.

Las iteraciones más recientes del malware utilizan un script de persistencia. Este escribe conjuntos de comandos utilizados para la inicialización automática en los archivos /etc/init.d/rcS o /home/start.sh. Dark Nexus también borra todas las reglas de iptables para asegurarse de que las comunicaciones C&C y los payloads DDoS no se filtren.

Contramedidas

Para defender tus dispositivos IoT contra los ataques lanzados por la botnet Dark Nexus debes realizar algunas acciones sencillas.  Por ejemplo, debes cambiar inmediatamente tus credenciales de administrador predeterminadas y deshabilitar el acceso remoto a través de Internet.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información