Una nueva
botnet IoT, bautizada como ‘BCMUPnP_Hunter‘, ha sido descubierta infectando
routers para enviar correos electrónicos de spam.
Los
investigadores de seguridad Hui Wang y RootKiter han descubierto recientemente
una botnet IoT que infecta routers de diferentes marcas con el objetivo de
enviar correos eléctronicos de spam a diferentes servicios de correo
electrónico, como Hotmail, Outlook o Yahoo.
Esta botnet
se ha bautizado con el nombre de ‘BCMUPnP_Hunter‘ debido al modo con el que
infecta los routers. Para infectar a los routers, este malware hace uso de una
vulnerabilidad de seguridad en la implementación del protocolo UPnP en los
chips BroadCom encontrada en octubre de 2013. Esta vulnerabilidad de seguridad
es del tipo ‘format string‘, por lo que permite al atacante explotar dicha
vulnerabilidad para obtener y modificar información contenida en la memoria del
proceso. Concretamente, esta vulnerabilidad se encuentra en la función
SetConnectionType, que es accesible a través de una petición SOAP.
Si en el parámetro
NewConnectionType se incluye una cadena de texto que incluya un especificador
de formato (para las funciones de formato en C suelen venir precedidos por ‘%’,
como por ejemplo: ‘%s’, ‘%d’, etc.), entonces ese especificador de formato será
interpretado y utilizado por el programa. Esto permite a un atacante obtener
información contenida en la memoria o modificarla (usando el especificador de
formato ‘%n’). Por ejemplo, si enviamos ‘%x,%x’ como valor para el parámetro
NewConnectionType, recibiremos como respuesta los dos primeros elementos en la
pila de memoria del proceso en formato hexadecimal.
Después de
realizar un escaneo, los investigadores han detectado 116 tipos diferentes de
dispositivos infectados por este malware. Puede consultarse la lista completa
de dispositivos detectados en la publicación de su blog.
IoCs:
C2 109.248.9.17 “Bulgaria/BG” “AS58222 Solar Invest
UK LTD” #C2&&Loader
MD5 de la muestra 9036120904827550bf4436a919d3e503
Más información:
- Post de análisis de la muestra: http://blog.netlab.360.com/bcmpupnp_hunter-a-100k-botnet-turns-home-routers-to-email-spammers-en/
- Post sobre la vulnerabilidad protocolo UPnP: http://defensecode.com/whitepapers/From_Zero_To_ZeroDay_Network_Devices_Exploitation.txt
- Fuente: Hispasec