A finales de abril, los investigadores de seguridad de la información de Bitdefender LABS
descubrieron una nueva versión de la botnet Hide and Seek (HNS), que se
conoció a principios de 2018. Utiliza un protocolo P2P personalizado y es la primera red de bots en "sobrevivir" incluso después de reiniciar el dispositivo en el que se encuentra.
Le diremos cómo HNS hace esto y cómo proteger los dispositivos IoT de él.
/ Flickr / chris yiu / ccLa red de bots ha estado "
jugando a las escondidas" con expertos en seguridad desde el 10 de enero: en ese momento, la red Hide and Seek constaba de solo 12 dispositivos. La mayoría de ellas eran cámaras IP fabricadas por la compañía coreana Focus H&S, y sus direcciones IP estaban escritas explícitamente en el código.
Después de que la botnet se "escondió" y se encontró solo el 20 de enero, ya incluía 14 mil dispositivos infectados. Después de lo cual, la botnet continuó su distribución activa y
logró infectar alrededor de 90 mil dispositivos únicos. Y así, en abril, apareció su nueva versión.
¿Cómo funciona una botnet?
La nueva versión de la botnet contiene una serie de mejoras en los mecanismos de distribución. Por ejemplo, aprendió a explotar dos vulnerabilidades más de las cámaras IP (más detalles
aquí y
aquí ), lo que permitió aumentar los derechos de acceso en el sistema y obtener el control sobre el dispositivo. Además, HNS puede detectar dos nuevos tipos de dispositivos y acceder a ellos mediante inicios de sesión de fuerza bruta y contraseñas (utilizando la lista de contraseñas establecida de forma predeterminada).
El mecanismo de propagación HNS se
asemeja a cómo los gusanos de red "se multiplican". Primero, el bot genera una lista de direcciones IP aleatorias para seleccionar víctimas. Luego, envía una solicitud SYN a cada host y continúa la "comunicación" con los que respondieron la solicitud en los puertos 23 2323, 80 y 8080. Una vez que se establece la conexión, el malware busca el mensaje "inicio de sesión buildroot" e intenta iniciar sesión con credenciales predefinidas. En caso de falla, HNS aplica la coincidencia de
diccionario en la lista codificada.
Después de conectarse, la botnet determina el dispositivo de destino y selecciona el método apropiado de compromiso. Por ejemplo, si el bot se encuentra en la misma red LAN con la víctima, configura el servidor TFTP, permitiendo que el objetivo descargue la muestra de malware directamente. Si la víctima está "ubicada" en Internet, la red de bots probará varios métodos para la entrega remota del "paquete malicioso". Todos los exploits están preconfigurados y almacenados en una ubicación de memoria firmada digitalmente para evitar el acceso no autorizado. La lista de métodos se puede actualizar de forma remota y distribuir entre los hosts infectados.
Los investigadores de seguridad de la información
descubrieron que la botnet tiene diez binarios compilados para diferentes plataformas: x86, x64, ARM (Little Endian y Big Endian), SuperH, PPC y otros.
Y para poder establecerse de manera confiable en el sistema, después de una infección exitosa del dispositivo de destino, el bot se copia a /etc/init.d/ y activa la función de carga automática junto con el inicio del sistema operativo (la interacción con la víctima ocurre a través de Telnet, ya que se requiere root para copiar los archivos binarios al directorio init.d -Derecho). Luego, HNS abre un puerto UDP aleatorio que los ciberdelincuentes necesitarán para contactar al dispositivo.
/ Flickr / pascal / PDOtras botnets grandes
Uno de los bots de IoT más famosos puede llamarse
Mirai . Al igual que HNS, esta botnet buscaba dispositivos IoT con puertos Telnet abiertos. Los autores de Mirai, fanáticos de Minecraft y el anime (Mirai en japonés
significa "futuro", en honor
al manga "Diary of the Future"), en 2016 realizaron varios ataques DDoS poderosos en sitios web, servidores de proveedores (en
septiembre y
octubre ) e
infectaron 300 mil dispositivos IoT (aquí puede encontrar un análisis detallado del código fuente de Mirai).
Otro caso bien conocido es Hajime (traducido del japonés significa "comienzo"). Esta botnet capturó 300 mil dispositivos IoT mediante ataques de fuerza bruta. Los ataques de Hajime se han dirigido principalmente a grabadoras de video digital, cámaras web y enrutadores. Según un
estudio de Kaspersky Lab, la red de bots infectaba principalmente dispositivos de Vietnam (20%), Taiwán (13%) y Brasil (9%). Al mismo tiempo, Hajime "conscientemente" evitó las redes privadas (incluidas las del Departamento de Defensa de Estados Unidos, Hewlett-Packard, General Electric y otras).
Cómo protegerte
Según los representantes de Bitdefender, la botnet HNS aún se encuentra en una "etapa de crecimiento". Sus operadores están tratando de capturar tantos dispositivos como sea posible. Por lo tanto, los ataques con su participación aún no se han llevado a cabo. Pero existe la posibilidad de que pronto los hackers agreguen "equipos de combate" a los archivos binarios.
Para proteger los dispositivos IoT de ataques HNS y botnets en general, los expertos en seguridad de Trend Micro
recomiendan seguir estos pasos simples y bastante comunes:
- Cambie la contraseña predeterminada del dispositivo IoT a una más compleja (todo es como siempre: al menos 15 caracteres, mayúsculas y minúsculas, más números y signos);
- Instale actualizaciones regularmente, especialmente las relacionadas con la seguridad;
- Utilice soluciones de software para proteger la red, el cifrado de tráfico, etc.
Estos métodos simples le permitirán protegerse de muchos programas maliciosos que "reclutan" los dispositivos de Internet de las cosas en sus filas.
Una selección de materiales de nuestro blog corporativo: