De Darlloz a Mirai, un repaso a las botnets IoT en los últimos tiemposDavid García 9 octubre, 2018 Pensemos en un momento en las actualizaciones de nuestro teléfono móvil o nuestro ordenador de escritorio. Es un acto rutinario: el sistema avisa de la existencia de una actualización pendiente, pulsamos, aceptamos, se instala y (en el mejor de los casos, si todo va bien y siempre después de un rato…) vuelta al trabajo. Un acto que repetido con asiduidad y que, a veces con resignación, forma parte del aseo rutinario. Ahora pongamos la atención en ese aparato que no es un móvil o un ordenador, puede ser un router, un frigorífico, un termostato o incluso un inodoro con conexión WiFi. Cientos de pequeños cacharros que albergan una CPU, memoria y conexión a la red. Escondidos en techos de escayola o disfrazados de electrodomésticos, no dejan de ser computadoras como la que tenemos delante o la que sostenemos en la palma de la mano. ¿Los actualizamos?, ¿se actualizan?, ¿son vulnerables? ¿Cuánto hace que cambiaste las credenciales de acceso o actualizaste el firmware de tu inodoro? Si la respuesta es nunca, entonces acabas de descubrir la clave para entender la proliferación de malware enfocado al Internet de las cosas: el olvido y la indiferencia, dos factores que no pasan desapercibidos a los creadores de botnets. Mirai, el «origen» Aunque ya hubo voces que advirtieron de los retos a los que nos íbamos a enfrentar con la explosión del IoT, posiblemente no nos dimos cuenta de ese potencial hasta que fuimos testigos del crecimiento, auge y capacidad beligerante de Mirai, una botnet compuesta por una amalgama de routers, cámaras IP y, quién sabe, algún que otro frigorífico o lavadora. El episodio en concreto, ocurrido el 20 de septiembre de 2016, fue el ataque de denegación de servicio contra el sitio web del investigador de seguridad Brian Krebs. Algo más de 600 Gbps insuflados a través de dispositivos infectados por todo el globo en uno de los ataques de denegación de servicio más grandes acaecidos hasta esa fecha. Mirai («futuro» en japonés), tenía unos objetivos muy claros cuando fue descubierta y analizada por el grupo MalwareMustDie. Poseía datos de credenciales por defectos de más de 60 tipos de dispositivos a los que atacaba accediendo a su configuración y terminaba agregándolos a la botnet. Curiosamente, aunque escaneaba internet en busca de otros dispositivos con una configuración por defecto o descuidada, se abstenía de «tocar» redes del servicio postal y del departamento de defensa de los Estados Unidos. El código fuente de Mirai fue liberado en un foro e incluso está publicado en Github. Naturalmente, ese mismo código ha sido usado para crear nuevas versiones personalizadas, más agresivas y con añadidos interesantes, como módulos de explotación de vulnerabilidades conocidas y que han hecho estragos. Por ejemplo, el CVE-2017-5638, que permite ejecutar código arbitrario en Apache Struts; un fallo muy conocido por ser la causa de la brecha de información que afectó a la empresa Equifax. Desde entonces, Mirai ha tenido varias encarnaciones, por ejemplo: Reaper, Okiru, Satori, Masuta, etc. Desde ese catálogo de credenciales por defecto y su uso como arma en el mercado negro de los DDoS, hasta la inclusión de los mencionados exploits y su orientación al minado masivo de criptomoneda. Otras botnets de IoT Otro ejemplar significativo es BASHLITE, aunque también tiene otros muchos nombres, como: Gafgyt, Torlus, Lizkebab. Este malware comenzó a despuntar en 2014, cuando explotaba la conocida vulnerabilidad que afectaba a sistemas UNIX: Shellshock. Una sencilla pero elegante forma de ejecutar código que afectó a numerosos sistemas. Aunque afectaba principalmente a servidores UNIX, la mayoría de sistemas infectados terminaron siendo IoT. Las siguientes iteraciones de BASHLITE comenzaron a usar la misma vía de propagación que Mirai, esto es, diccionarios contra la autenticación de dispositivos IoT y un catálogo de exploits listos para ampliar su capacidad de difusión. VPNFilter es creación del grupo ruso Fancy Bear. Ya hablamos de él brevemente en esta entrada. Este ejemplar, aunque en principio se diseñó para afectar a objetivos situados en Ucrania, terminó expandiéndose por todo el mundo, e incluso hizo que el propio FBI norteamericano publicase un anuncio donde pedía que se reiniciaran los routers para erradicar el proceso afectado por VPNFilter de la memoria. Tanto VPNFilter como GhostDNS pertenecen, podríamos decir, a una nueva generación de malware, donde se busca modularidad, resilencia, múltiples etapas de infección y nuevas e innovadoras vías de comunicación con el C&C. Por ejemplo, en el caso de VPNFilter se llegó a usar los metadatos de imágenes (campos EXIF) publicadas en ciertas webs para enviar comandos a los bots. En el caso de GhostDNS, el modus operandi no es algo novedoso, su armazón básico es el de un DNS Changer, cambiar la dirección IP de los servidor DNS por defecto o configurados. Este cambio afecta a la forma en la que se resuelven las peticiones de dominio de una red. En vez de responder con la dirección IP original, el dominio es resuelto a una dirección de un servidor controlado por los atacantes. GhostDNS está compuesto por múltiples scripts de shell, Javascript, Python y PHP que forman tres módulos principales. Cada uno de ellos se especializa en un vector de ataque y posee submódulos especializados en un tipo de router. A destacar el módulo de Javascript que puede ser inyectado en una web y usado para afectar al router del visitante del sitio cuando el código es ejecutado en su navegador. Malware sin fronteras. Pero aun así, ¿fue Mirai la primera botnet que aprovechaba la hiperconectividad? No. Ya en 2013, antes de toda la nueva ola IoT, Darlloz afectaba específicamente a routers además de otros objetivos. El malware se centraba en la explotación de CVE-2012-1823, un exploit para php-cgi, que es un módulo PHP y es usado en los paneles de administración web de algunos routers. Darlloz escaneaba aleatoriamente Internet enviando una petición HTTP POST con el payload incrustado en un formulario. Si el router era vulnerable, terminaba infectado con una versión de Darlloz y pasaba a formar parte de la botnet. En conclusión, escondidos o camuflados, estamos rodeados de pequeños artefactos que necesitan de atención. Solo con una pequeña parte de la misma atención que dedicamos a nuestros terminales móviles u ordenadores de escritorio, podríamos evitar un mal mayor que, a veces, encuentra una puerta completamente abierta en estos sistemas. David García david.garcianunez@telefonica.com Equipo de Innovación y Laboratorio de ElevenPaths Chrome y su particular guerra contra las extensiones maliciosas#DiHolaAMovistarHome, el dispositivo que reinventa tu hogar
Martiniano Mallavibarrena Ciberseguridad en el cine: mito vs. realidad con 10 ejemplos Los múltiples aspectos de la ciberseguridad (ataques, investigaciones, defensa, empleados desleales, negligencia, etc.) llevan años siendo parte del argumento de infinidad de películas y series de TV. En la...
Daniel Pous Montardit Resiliencia, clave en sistemas Cloud-Native En el primer post de la serie Cloud-Native, ¿Qué significa que mi software sea Cloud Native?, presentamos la resiliencia como uno de los atributos fundamentales que nos ayudan a...
Telefónica Tech Boletín semanal de Ciberseguridad, 21 – 27 de enero Killnet apunta contra objetivos en España Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio...
Gonzalo Fernández Rodríguez ¿Qué significa que mi aplicación sea Cloud Native? El término Cloud Native es algo que va más allá de mover las aplicaciones alojadas en un data center a una infraestructura proporcionada por un proveedor Cloud, sea Cloud...
Telefónica Tech Boletín semanal de Ciberseguridad, 14 – 20 de enero Vulnerabilidades críticas en los router Netcomm y TP-Link Se han descubierto una serie de vulnerabilidades en los routers Netcomm y TP-Link. Por un lado, los fallos, identificados como CVE-2022-4873 y CVE-2022-4874, se tratan de un...
Jorge Rubio Álvarez Consecuencias de un ciberataque en entornos industriales Podemos encontrar entornos industriales en cualquier tipo de sector que nos podamos imaginar, ya sea en empresas de tratamiento de agua, transporte, farmacéuticas, fabricación de maquinaria, eléctricas, alimentación o...