La red de bots Hajime está empezando a preocupar a los investigadores de seguridad ya que el botnet ha alcanzado un tamaño estimado en 300.000 dispositivos infectados
Mientras Hajime nunca fue utilizado para llevar a cabo cualquier acción maliciosa, como los ataques DDoS, los investigadores temen un agente autorizado podría ser capaz de hacerse cargo de las operaciones de la red de bots.Hajime apareció como un competidor directo de Mirai
La botnet Hajime fue visto por primera vez online el otoño del 2016 por investigadores de seguridad de Rapidity Networks. Los investigadores llamaron a este nuevo software malicioso IO Hajime, la palabra japonesa para "comienzo", debido a que el malware se trató específicamente para comprometer los mismos dispositivos infectados por Mirai, que es la palabra japonesa para "futuro".La conexión a Mirai es importante, porque Hajime apareció justo en el medio de varios ataques DDoS realizados por Mirai, un malware IO compañeros también se utiliza para crear grandes redes de bots.
Debido a la intensa actividad de Mirai en el momento, Hajime pasó desapercibido por la mayoría de las empresas de seguridad, que eran bastante ocupado seguimiento e investigación de los ataques DDoS Mirai que tienen lugar en el momento.
Fue sólo después de que Symantec publicó un informe la semana del 17 de abril en que el enfoque de la comunidad infosec cambió de nuevo a Hajime, que mientras tanto se había convertido en el más sofisticado software malicioso IO en Internet.
Estas son las cosas básicas que usted necesita saber sobre el modo actual del Hajime de la operación
- Los objetivos de malware dispositivos basados en Linux se ejecutan en el arm5, ARM6, ARM7, mipseb y plataformas mipsel
- La mayoría de los dispositivos infectados son los DVR, cámaras de seguridad, y los routers domésticos
- Hajime se propaga a los dispositivos de tres maneras: (1) por brute
-forcingcuentas de Telnet con credenciales débiles, mediante la explotación de un defecto en el protocolo TR-064 utilizado por ISPs para gestionar remotamente routers; y por el módem de cable Arris contraseña del ataque días. - Hajime utiliza el nombre de usuario y contraseña mismas exactas combinaciones que Mirai está programado para utilizar, además de dos más
- Hajime ha pasado por seis cambios desde el inicio de 2017, es decir aún en desarrollo
- El operador Hajime controla su botnet a través de P2P protocolo
- Las comunicaciones bOT todo Hajime se cifran
- El malware binaria Hajime tiene una arquitectura modular y se puede descargar otros módulos para la funcionalidad adicional
- La mayoría de estos módulos y binarios se almacenan en otros robots de infectados y no se descargan desde un servidor central
- Los investigadores de seguridad tienen visto sólo los módulos de auto-replicación, pero no hay módulos para ataques DDoS o proxy de tráfico módulos
- Personalizados pueden ser escritos en cualquier idioma, siempre y cuando se pueden compilar a un binario para una de las plataformas soportadas
- Hajime no cuentan con ningún persistencia código y el malware puede ser eliminado mediante el arranque del dispositivo
- El primer informe de Hajime Rapidez redes identificadas un error en la comunicación s Protocolo, que el autor arreglaron enseguida
- El autor del software malicioso no se refirió a su software malicioso como Hajime, pero empezó a llamar así después de que Rapidity Networks lo llamase de esa manera
