Los expertos de MalwareMustDie detectaron un nuevo troyano de puerta trasera ELF, conocido como ELF Linux / Mirai, que ahora ataca a los dispositivos IO.
Expertos de MalwareMustDie han analizado en muestras de agosto de una puerta trasera en particular el troyano, denominado ELF ELF Linux / Mirai, que ahora se dirige a los dispositivos IO . El nombre del malware es el mismo de la binaria, "Mirai.", Y de acuerdo con los expertos.
El ELF Linux / Mirai es muy insidiosa todavía no es detectado por muchas soluciones antivirus como lo confirma el ratio de detección muy baja en el servicio de escaneo en línea VirusTotal.
Segun el blog de MalwareMustDie: "La razón de la falta de detección se debe a la falta de muestras, que son difíciles de obtener los mensajes a los infectados dispositivos IO, routers, DVR o cámara WebIP , el Linux con Busybox binaria en la plataforma embebida, que lo que es el objetivo de esta amenaza."
La última ELF examinado por asuntos de seguridad era el troyano Linux.PNScan que ha dirigido activamente routers basados en Linux x86 en un intento de instalar puertas traseras en ellos.
Pero MalwareMustDie nos dice que Linux / Mirai "es mucho más peligroso que PnScan".
Y continúa: "La amenaza estaba empezando en una campaña a principios de agosto, incluso si esto ELF no es fácil de detectar, ya que no está mostrando su actividad poco después de ser instalado, no hay ningún archivo de malware en el sistema, se eliminan todos excepto el proceso retardada, donde el malware se ejecuta después de haber sido ejecutado ".
Esto significa que cuando las infecciones tuvieron éxito, no es fácil distinguir un sistema infectado por una no infectada uno, salvo que del análisis de la memoria, y estamos hablando de un tipo de dispositivos que no son fáciles de analizar y depurar. El tipo normal de análisis llevado a cabo desde el sistema de archivos o del tráfico de la red externa no da ninguna evidencia, por el principio.
Nos encontramos en un entorno hostil, llamado Internet de las Cosas (IOT), dando forma nueva clase de potentes redes de bots se extienden en todo el mundo, pero que los países más expuestos a este tipo de ataque
"Los países que están teniendo los dispositivos Linux busybox IO integrados que pueden conectarse a internet, como DVR o cámara IP Web de varias marcas, y los países que han ISP que sirven a los usuarios por los routers Linux corriendo con dirección IP global, se exponen como objetivo, en especial a los dispositivos o servicios que no está asegurando el acceso para el puerto telnet (TCP / 23) el servicio"
De hecho parece que continúa, "los creadores de Linux / Mirai han tenido éxito para codificar las cadenas y hacer desvíos de tráfico para camuflarse. Como es posible ver el análisis de las muestras, se muestra en el enlace a Virustotal, la mejor detección sólo es " 3 de 53" o "3-55."
Lo que es muy importante para todos los administradores de sistemas debe ser proporcionada por un escudo contra estas infecciones: "junto con los buenos amigos que participan en el sistema de filtración abierta, ingenieros de seguridad están tratando de empujar" comneta MalwareMustDie "la filtración correcta firma a alertar a los administradores de sistemas si tener los ataques de esta amenaza. Y en uno de los pilotos a los administradores de sistemas dotados de las firmas correctas, encontraron el ataque de origen desde varios cientos de direcciones dentro de sólo un par de días."
Entonces parece que la infección es realmente va generalizada y la red de bots parece ser realmente muy grande.
Los administradores de sistemas que desean proteger sus sistemas hay una lista de las acciones de mitigación
- Si usted tiene un dispositivo IO, por favor asegúrese de que usted no tiene ningún servicio telnet abierto y en funcionamiento.
- Bloqueando el puerto TCP utilizado / 48101 si no lo utiliza, es bueno para prevenir la infección y daño adicional.
- Supervisar las conexiones telnet ya que el protocolo utilizado para la infección Botnet es el servicio Telnet.
- Revertir el proceso de búsqueda de las cadenas reportados en la punta de la herramienta detecciones MalwareMustDie.
Sin embargo, lo que sabemos sobre este malware Linux / Mirai ELF exactamente, y ¿por qué no es tan común entre los analistas de malware?
"La razón por la que no muchas personas lo saben ", dice MalwareMustDie - " es que antivirus piensa que es una variante de Gafgyt o Bashlite o Bashdoor . A continuación, las muestras reales de este malware es difícil de conseguir ya que los analistas de malware más tienen que extraer de la memoria en un dispositivo infectado, o tal vez tenga que cortar el CNC a buscar los ".
Esto significa que también el análisis forense puede ser difícil si apagamos el dispositivo infectado: toda la información se pierde y que tal vez sería necesario empezar de nuevo con un nuevo procedimiento de infección, por si acaso. Se recuerda la intervención telefónica móvil griego llamado "Vodafone Hack", hay evidencia de que en la memoria.
La verdadera forma insidiosa de esta ELF es que la única manera de realizar un seguimiento que consiste en extraer de la memoria de los dispositivos de funcionamiento y no hay tanto conocimientos técnicos entre los que puede " hackear sus propios routers o cámara web o DVR para obtener el binario de malware descargado de la memoria o control del rastro de la infección. "
OTRAS CATEGORIAS
