Cuando, a fines de 2016, el proveedor de DNS con sede en EE. UU. Dyn sufrió un ataque DDoS masivo que resultó en la falta de disponibilidad temporal de muchos servicios populares en línea, el nombre del malware Mirai se supo al instante fuera de la industria de seguridad cibernética.
Desde entonces, hemos llegado a conocer las identidades del autor del malware y los botmasters que lo usaron para montar ese y otros ataques. Pero, incluso antes del ataque contra Dyn, lanzaron el código fuente del malware en un intento de enturbiar las aguas.
Como era de esperar, otros actores maliciosos lo tomaron y lo utilizaron como base para muchas variantes de malware dirigidas a dispositivos IoT.
Los sucesores de Mirai
Hay cuatro variantes prominentes de Mirai.
Satori , que surgió en diciembre de 2017 y luego pasó por varias iteraciones, usó escaneo de credenciales predeterminado (como Mirai), agregó el uso de dos vulnerabilidades de código remoto para mejorar la eficiencia y luego se convirtió en el primer robot de IoT dirigido a la arquitectura ARC .
JenX usa la misma tabla de configuración y la misma ofuscación de cadenas que Mirai, pero eliminó las funciones de exploración y explotación, que se transfirieron a un sistema diferente.
«Actualmente, parece que JenX solo se enfoca en ataques DDoS contra jugadores del videojuego Grand Theft Auto San Andreas», compartieron los investigadores de Netscout .
OMG es otro heredero de Mirai que admite todas sus funcionalidades.
«Lo que hace que OMG se destaque es cómo el autor amplió el código de Mirai para incluir un servidor proxy. OMG incorpora 3proxy, que le permite habilitar un servidor proxy SOCKS y HTTP en el dispositivo IoT infectado «, explicaron los investigadores.
Con estas dos características, el autor del robot puede proxy cualquier tráfico de su elección a través del dispositivo IoT infectado, pero también hacer que el dispositivo IoT infectado actúe como un pivote para otras redes que están conectadas al dispositivo.
La última incorporación a la lista de malware basada en Mirai se ha denominado Wicked .
Como los anteriores, Wicked utiliza la técnica de ofuscación de cadenas de Mirai y, como Satori, cambió la función de escaneo de credenciales de Mirai para su propio escáner RCE, que utiliza para buscar enrutadores vulnerables Netgear y dispositivos CCTV-DVR. Una vez comprometidos, estos dispositivos son instruidos para descargar y ejecutar una copia del robot Owari.
El peligro
Ninguno de estos botnets / malware alcanzó la notoriedad de Mirai, pero quién sabe lo que depara el futuro.
Todos son capaces de montar una amplia variedad de ataques DDoS (TCP, UDP, inundación GRE, ataques de «Tortura de agua» de DNS, etc.), pero solo OMG retuvo la capacidad de efectuar ataques HTTP GET, POST y HEAD.
«Utilizando Mirai como marco, los autores de botnets pueden agregar rápidamente nuevos exploits y funcionalmente, lo que reduce drásticamente el tiempo de desarrollo de botnets», señalaron los investigadores.
«Como la explosión de dispositivos IoT no parece estar disminuyendo, creemos que seguiremos viendo aumentos en botnets IoT. Es probable que veamos remanentes de Mirai en vivo en estas nuevas botnets también «.
Fuente: Helpnetsecurity.com