Una nueva variante de
Mirai ha sido descubierta por investigadores de Fortinet. Bautizada como OMG,
la funcionalidad que la define es la capacidad de utilizar los dispositivos IoT
infectados como servidores proxy.
La liberación del
código fuente del la botnet Mirai ha dado a luz todo tipo de variantes con su
propio arsenal de funcionalidades específicas. En previas UAD hemos hablado de
como explotaban vulnerabilidades en dispositivos Huawei, usaban contraseñas por
defecto en ZyXel o atacaban a software de minado.
Por supuesto, la
nueva variante OMG (llamada así por la presencia de las cadenas '/bin/busybox
OOMGA' y 'OOMGA: applet not found' en su interior) no podía ser menos. La
presencia de los módulos de Mirai en su código indica que, de serie, puede usar
las mismas técnicas que la botnet original. Pero además incluye la opción
inédita: la capacidad de usar los dispositivos IoT infectados como servidores
proxy.
Una vez infectado el
dispositivo, OMG comunica la infección al servidor C&C, que le responde con
un valor que especifica su finalidad. El valor 0 le indica al bot que va a ser
usado como servidor proxy. Para ello selecciona dos puertos al azar
('http_proxy_port' y 'socks_proxy_port'), que son comunicados al servidor
C&C, y configura una regla de firewall para permitir el trafico a través de
ellos. Una vez lista la configuración, ejecuta un servidor proxy usando el
software de código abierto 3proxy.
Esta variante ha sido
descubierta por un equipo de investigadores de Fortinet. Según ellos, la
posible motivación de esta funcionalidad es el cobro por el uso de la red de
proxies:
Cybercriminals use
proxies to add anonymity when doing various dirty work such as cyber theft,
hacking into a system, etc. One way to earn money with proxy servers is to sell
the access to these servers to other cybercriminals. This is what we think the
motivation is behind this latest Mirai-based bot.
En su post se cubre
en más detalle el funcionamiento y se aportan IOCs. Precisamente un miembro del
equipo, Dario Durando, estará esta semana en la RootedCon con una charla
llamada "IoT: Battle of Bots" donde cubrirá las diferentes variantes
de Mirai aparecidas.
Más información:
- OMG: Mirai-based
Bot Turns IoT Devices into Proxy Servers https://www.fortinet.com/blog/threat-research/omg--mirai-based-bot-turns-iot-devices-into-proxy-servers.html
Fuente: Hispasec