Esta nueva botnet IoT
denominada HNS está extendiendose desde Asia a Estados Unidos.
Esta botnet utiliza el
mismo exploit (CVE-2016-10401) que usó la botnet Reaper. Y, a diferencia del
resto de botnets IoT recientes, HNS no es una modificación de Mirai.
Los investigadores de
seguridad aseguran que la botnet apareció el 10 de Enero, desapareció unos días
y volvió con muchísima más fuerza el 20 de Enero.
De acuerdo con los
análisis que se han realizado, cada bot contiene una lista de IPs de otros bots
infectados. Esta lista puede actualizarse en tiempo real a medida que se
pierdan/ganen más bots.
Además, se ha
comprobado que los bots se mandan instrucciones y comandos unos a otros,
similar a la base del protocolo P2P. Los comandos que pueden recibir y ejecutar
son diversos, entre ellos la ejecución de código o la exfiltración de datos.
Sorprendentemente los expertos de Bitdefender
no han encontrado función DDoS en los dispositivos, lo que da a pensar que
seguramente esté destinada a ser desplegada como una red proxy.
El bot se comporta como un gusano el cuál
genera listas de IPs aleatorias para conseguir víctimas potenciales. Entonces
inicia una conexión SYN con cada host de la lista a la espera de recibir
respuesta por parte de estos desde uno de los puertos específicos (23, 2323,
80, 8080).
Una vez que la
conexión ha sido establecida, el bot busca un banner específico
("buildroot login:") al cuál intenta conectar con los credenciales
por defecto. En caso de fallar, la botnet intenta un ataque de diccionario
usando una lista hardcodeada hasta conseguir acceso al nuevo dispositivo
infectado.
La buena noticia es
que el bot no es persistente por lo que un reinicio del dispositivo infectado
debería de ser suficiente para limpiarlo.
Más información:
Bitdefender Labs: https://labs.bitdefender.com/2018/01/new-hide-n-seek-iot-botnet-using-custom-built-peer-to-peer-communication-spotted-in-the-wild/
Fuente: Hispasec
