Mirai Linux, un troyano que transforma al IoT en una botnet DDoS

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Mirai, una pieza de malware recién descubierto y aún con bajos niveles de detección con aplicaciones de antivirus para Linux, está siendo utilizado para enlazar dispositivos IoT en redes de bots para realizar ataques DDoS.

Los investigadores que han presentado el caso del malware MustDie han identificado diversas variantes de la amenaza, y llegaron a las siguientes conclusiones:

  • Se presenta en forma de un archivo .ELF (característico de los archivos ejecutables de sistemas tipo Unix).
  • Ataca fundamentalmente a routers, DVR o cámaras WebIP, servidores Linux y dispositivos del Internet de las Cosas, que está utilizando Busybox, considerado la “navaja suiza del Embedded Linux.”
  • Los atacantes en principio acceden al shell de los dispositivos de destino, sacando ventaja del hecho de que la mayoría no cambia nunca la contraseña predeterminada para la cuenta de SSH o Telnet.

Luego los cibercriminales cargan el software malicioso

El malware establece varios procesos demorados y luego elimina los archivos maliciosos que podrían alertar a los usuarios de su existencia. A continuación, inicia la apertura de puertos, establece contacto con sus botmasters y explora la red para ubicar otros dispositivos accesibles para infectar. Para otras acciones, queda a la espera de más instrucciones.

Si analizamos el código de Mirai podemos deducir que es descendiente directo de un troyano llamado Gafgyt (también conocido como BASHLITE y como Torlus), que es uno de los principales contribuyentes al aumento de los ataques DDoS a compañías de servicios en línea.

Con el fin de proteger sus dispositivos de esta amenaza, considero apropiado que los administradores cierren totalmente su servicio telnet, para bloquear el puerto TCP 48101 si en realidad no se utiliza, lo cual va a permitir la ejecución segura de Busybox por parte del usuario específico.

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris