Investigadores de seguridad de NetLab de Qihoo 360 descubrieron una variante del malware Mirai IO que utilizó un DGA (algoritmo de generación de dominio) como un sistema de comunicaciones de respaldo a su (C & C) los servidores de comando y control.
Por lo general, todas las variantes de Mirai utiliza una lista de dominios codificada en código de fuente del software malicioso para contar los dispositivos infectados al servidor del atacante, para que pueda realizar un seguimiento de las infecciones activas, y enviar comandos para lanzar ataques DDoS.
Cuando los investigadores NETlab encontrarón la DGA, esto fue una sorpresa.
El DGA son sistemas muy complejos y se encuentran a menudo en el malware de primera plataforma, tales como troyanos, puertas traseras bancarios sofisticados utilizados para las actividades de espionaje cibernético o superiores familias ransomware como Locky o cryptolocker.
Los malware botnets basado en la DGA son difíciles de desmontar
Una DGA es un algoritmo que genera un nombre de dominio al azar, que el malware utiliza para hablar con su servidor de C & C. DGA algoritmos son configurables, para que puedan generar nuevos nombres de dominio a intervalos regulares.
Sólo el autor del malware sabe cómo funciona esto en un DGA, y lo utilizan para predecir que domina la DGA va a generar, comprar los nombres de dominio de antemano, y luego instalar el backend del servidor C & C por adelantado, esperando a que los robots infectados puedam cambiar al nuevo dominio.
Debido a los cambios de C & C en un período regular, es muy difícil para las autoridades policiales acabar con estos tipos de redes de bots. Esto generalmente implica la compra de cientos o miles de dominios de antemano y requiere un alto nivel de coordinación entre la policía, las empresas de seguridad, y los registradores de dominios.
Se puede ver las ventajas de ejecutar el malware con un DGA, incluso si se utiliza como un sistema de copia de seguridad.
Además de la detección de nuevas variantes Mirai, los investigadores también han roto NETlab algoritmo DGA del malware. En una entrada de blog de la semana pasada, los investigadores de seguridad chinas publicaron detalles sobre cómo funcionaba la DGA, y todos los dominios de esta variante Mirai estaba a punto de utilizar en las próximas semanas.
De acuerdo con el investigador de seguridad MalwareTech, esto no era una variante Mirai al azar, pero el responsable de la construcción de la mayor red de bots Mirai conocido hasta la fecha, que en un momento a finales de noviembre, principios de diciembre, alcanzó los 3,2 millones de robots infectados.
Apodado Botnet # 14, o Annie, esta es el mismo botnet que intentó un enorme ataque DDoS contra varios ISP de Liberia y intentó secuestrar 900.000 routers del alemán Deutsche Telekom ISP. Del mismo modo, unos días más tarde, Mirai Botnet # 14 también intentó secuestrar 100.000 enrutadores de ISP del Reino Unido Oficina de Correos y TalkTalk.
Botnet #14 elimina DGA para sorpresa de todos
Sin embargo, para sorpresa de todos, en menos de una semana, la característica DGA había sido eliminado, también observado por MalwareTech
Segun Bleeping Computer que había estado en contacto con BestBuy, el nombre del pirata informático que gestiona la red de bots # 14. BestBuy había alquilado el acceso a su red de bots.
Por otra parte, BestBuy dijo que los investigadores podrían haber cometido un error en sus cálculos cuando el agrietamiento de la DGA. "Prácticamente se compraron 365 dominios equivocados", segun el hacker.
El DGA se utilizó sólo una semana para evitar un intento de derribo
"Fue sólo temporalmente," BestBuy también ha dicho acerca de la DGA, "no tenía ningún método de autenticación ni nada, es decir, cualquiera podría lograr el control de los robots."
El hacker también disipó cualquier teoría que esto era sólo una prueba. "No, no es una prueba", dijo. "Nivel 3 y otros estaban todo sobre nosotros. Sólo necesitábamos para asegurar el control durante esos días, eso es todo."
Pero BestBuy ciertamente no es nuevo en esto. El hacker sabe muy bien que las redes de bots que se basan en los dominios codificados son presa fácil. De hecho, eso fue lo que Nivel3 y otros estaban tratando de hacer.
Como resultado, se creó el canal de comunicaciones de copia de seguridad del servidor C & C. En primer lugar, se utiliza la DGA, ahora se utiliza otra cosa.
Botnet # 14 cambia a Tor
"Empresas de seguridad verán la variante Tor patadas en," dijo. "Está todo bien ahora. Nosotros no tenemos que pagar miles de ISPs y hosting. Todo lo que necesitamos es un servidor fuerte".
"Intenta apagar 'dominios' .onion sobre Tor", se jactó BestBuy, haciendo alusión a la difícil tarea de encontrar los servidores ocultos en la red Tor, algo que el FBI ha tenido dificultades para el seguimiento durante años.
"El uso (o más bien el abuso) de la red de Tor es bastante común, ya que proporciona una medida de anonimato para el bot-pastor," dijo Yaneza. "También plantea retos importantes para cualquiera que trate de identificar el verdadero culpable detrás de los ataques DDoS."
Esto no es algo nuevo. El experto de Trend Micro indicó en una charla en la conferencia de seguridad Defcon 18, que tuvo lugar en 2010 cuando los investigadores primera detallan el uso de Tor para el canal de comunicaciones de una red de bots.
En el otro lado del espectro, hay algunas personas que dudan de los comentarios de BestBuy, diciendo que los dispositivos IO no cuentan con los recursos físicos para funcionar paquete de software de Tor.
Para ser justos, sin firma de seguridad o investigador individual ha informado de ver una variante Mirai que usa Tor como un sistema de copia de seguridad de C & C.
Sin embargo, el hecho de que Botnet # 14 sigue en pie sirve como un testimonio de las habilidades de hacking de BestBuy. Una botnet que ha lanzado varios ataques DDoS de alto perfil y los intentos de secuestro del router, y todavía está de pie, sin duda tiene uno o más trucos bajo la manga.
De acuerdo con solicitudes aún no confirmados de BestBuy, uno de ellos es el uso de Tor para controlar los robots de seguridad cuando las empresas toman por sus principales dominios C & C.
