RED DE BOTS MIRAI VULNERABILIDADES EN EL CÓDIGO FUENTE

Investigadores de seguridad han descubierto vulnerabilidades en el código fuente de la red de bots Mirai y tienen un método para introducirse de nuevo

El malware Mirai fue visto por primera vez por el investigador MalwareMustDie que confirmó que fue diseñado para introducirse en los dispositivos IO mal configurados y vulnerables. Su código fuente se filtró en el popular foro de hackers Hackforum por un usuario con el apodo de "Anna-senpai", dando la oportunidad a cualquier persona para compilar y personalizar su propia versión de la amenaza.

Los expertos que revisaron el código han descubierto una debilidad que podría ser explotado para apagar la red de bots evitando que se inunda con los objetivos de las peticiones HTTP, esto significa que es posible cortar de nuevo la amenaza.

Los expertos de Invincea descubrieron tres vulnerabilidades en el código Mirai, una de ellas, un desbordamiento de pila, podría ser explotada para detener el ataque DDoS alimentado por la red de bots. La vulnerabilidad de desbordamiento de búfer afecta a la forma de Mirai analiza las respuestas de los paquetes HTTP.

"Tal vez el hallazgo más significativo es una vulnerabilidad de desbordamiento de pila en el código de ataque de inundación HTTP. Cuando explotó provocará un fallo de segmentación (es decir SIGSEV) que se produzca, bloquear el proceso, y por lo tanto dar por terminado el ataque de ese bot. El código vulnerable tiene que ver con la forma en Mirai procesa la cabecera HTTP de ubicación que puede ser parte de la respuesta HTTP enviado desde una solicitud HTTP inundaciones. ", Segun el análisis publicado por la firma de seguridad Invincea.

Los investigadores de la Invincea probaron con éxito una prueba de concepto de explotar en un entorno virtual de una instancia de depuración del bot Mirai, un servidor de comando y control y un equipo de destino.

"Es simple explotar esta vulnerabilidad es un ejemplo de defensa activa contra un botnet IO que podría ser utilizado por cualquier servicio de mitigación de DDoS para defenderse de un ataque de inundación HTTP basado en Mirai en tiempo real. Si bien no se puede utilizar para eliminar el bot desde el dispositivo IO, se puede utilizar para detener el ataque originario de dicho dispositivo en particular.

Por desgracia, es específico para el ataque de inundación HTTP, por lo que no ayudaría a mitigar el reciente basado en DNS. "Explicó Scott Tenaglia, Director de Investigación en el equipo capacidades cibernéticas en Invincea laboratorios.

Scott Tenaglia comentó que el método propuesto por la empresa no limpia los dispositivos comprometidos, sino que podría ser eficaz contra inundaciones HTTP impulsado por el Mirai Botnet.

El método propuesto por los investigadores es una forma de defensa activa que tiene importantes implicaciones legales, porque de todos modos, que está defendiendo su sistema desde el poder de ataque de un ataque contra la infraestructura de respuesta del atacante.

Hackear un bot significa hacer un acceso no autorizado a un sistema informático y este tipo de operaciones tienen que ser autorizada por una orden judicial. Invincea ha hecho un excelente trabajo y no sugiere la piratería de vuelta, pero limita su análisis en el aspecto técnico de la red de bots Mirai y sus vulnerabilidades.

Fecha actualización el 2021-10-29. Fecha publicación el 2016-10-29. Categoría: Malware. Autor: Oscar olg Mapa del sitio
red de bots