Los investigadores descubrieron una nueva ola de Mirai Variant que utilizó 13 ataques diferentes para atacar varios modelos de enrutadores y otros dispositivos de red.
El malware Mirai tiene registros sólidos de infectar mal los dispositivos IoT y realizar ataques DDOS en varias plataformas.
Mirai apunta a varios enrutadores diferentes, incluyendo D-Link, Linksys, GPON, Netgear, Huawei y otros dispositivos de red como ThinkPHP , múltiples proveedores de CCTV-DVR , UPnP , grabadoras de video digitales MVPower y grabadora de video en red de Vacron.
Esta es la primera vez que usamos los 13 exploits juntos en una sola campaña, incluyendo algunos de los exploits que se usaron en el ataque anterior.
Inicialmente, la nueva variante de Mirai se encuentra en el sistema de honeypot que implementó Trend Micro y busca dispositivos IoT para explotar varias vulnerabilidades que incluyen la ejecución remota de código (RCE).) Autenticación de bypass e inyección de comandos.
Según Trend Micro ”, mostró que este malware utilizaba diferentes medios de propagación y también reveló el uso de tres claves XOR para cifrar datos. Descifrar las cadenas de malware utilizando XOR reveló uno de los primeros indicadores relevantes de que el malware es una variante de Mirai «.
Variant Mirai Exploits
Los investigadores encontraron diferentes URL que están asociadas con la variante de Mirai, incluido el enlace de comando y control (C&C) y los enlaces de descarga y dropper.
El nuevo código de variante de Mirai revela más información sobre el proceso de infección, especialmente, las primeras 3 explotaciones que analizan las vulnerabilidades específicas en ThinkPHP, ciertas Huawei, Linksys enrutadores y también un escáner para otras 10 vulnerabilidades utilizadas en este ataque.
También realiza un ataque de fuerza bruta utilizando capacidades que utilizan varias credenciales comunes.
Las explotaciones asociadas a Mirai Variant aprovechan las diferentes vulnerabilidades que se encuentran en los enrutadores, productos de vigilancia y otros dispositivos
| Explotar | Vulnerabilidad y dispositivos afectados. | Ataques relevantes | |
| 1 | Vacron NVR CVE | Una vulnerabilidad de ejecución remota de código (RCE) para dispositivos grabadores de video en red (NVR) de Vacron | Omni |
| 2 | CVE-2018-10561, CVE-2018-10562 | La omisión de autenticación y las vulnerabilidades de inyección de comando, respectivamente, para los enrutadores de red óptica pasiva (GPON) gigabit de Dasan | Omni Mirai-como la exploración |
| 3 | CVE-2015-2051 | Vulnerabilidad de ejecución del comando SOAPAction-header del Protocolo de administración de red doméstica (HNAP) que funciona en ciertos dispositivos D-Link | Omni Hakai |
| 4 | CCTV-DVR RCE | Vulnerabilidades de RCE para múltiples proveedores de CCTV-DVR | Omni Yowai |
| 5 | CVE-2014-8361 | Vulnerabilidad de ejecución del comando SOAP (Protocolo simple de acceso a objetos) de Plug and Play (UPnP) que afecta a diferentes dispositivos utilizando el kit de desarrollo de software (SDK) de Realtek con el demonio miniigd | Omni |
| 6 | Ejecución de comando UPnP SOAP TelnetD | Ejecución del comando UPnP SOAP que explota vulnerabilidades en dispositivos D-Link | Omni |
| 7 | Eir WAN inyección de comando remoto lateral | Inyección de comandos remotos en el lado de la red de área amplia (WAN) para los enrutadores inalámbricos Eir D1000 | Omni |
| 8 | Netgear Setup.cgi RCE | RCE para dispositivos Netgear DGN1000 | Omni |
| 9 | CVE-2016-6277 | Vulnerabilidad que puede permitir la ejecución de comandos arbitrarios remotos en dispositivos Netgear R7000 y R6400 | InfecciónOmni VPNFilter |
| 10 | Ejecución del comando de shell MVPower DVR | Vulnerabilidad RCE no autenticada en grabadoras de video digital (DVR) MVPower | Omni |
| 11 | CVE-2017-17215 | Vulnerabilidad de ejecución de comando arbitraria en los enrutadores Huawei HG532 | Omni Satori Miori |
| 12 | Linksys RCE | Vulnerabilidad RCE en los enrutadores de la serie E de Linksys | La luna |
| 13 | ThinkPHP 5.0.23 / 5.1.31 RCE | RCE para el marco de desarrollo web de código abierto ThinkPHP 5.0.23 / 5.1.31 | Hakai Yowai |
Entre las 13 vulnerabilidades, 11 ya se habían utilizado en la campaña de la variante Mirai anterior en 2018 y otras 2 vulnerabilidades son completamente nuevas que se pueden usar contra Linksys y ThinkPHP RCE.
El atacante detrás de esta nueva variante podría simplemente haber copiado el código de otros ataques, y con ello las vulnerabilidades que estos casos anteriores habían utilizado.
Se recomienda a los usuarios cambiar las credenciales predeterminadas en el enrutador para evitar los ataques basados en credenciales.
Indicadores de Compromiso (IoC)
Hash SHA-256 relacionado detectado como Backdoor.Linux.MIRAI.VWIPT :
c15382bc81e1bff4cf03d769275b7c4d2d586a21e81ad4138464d808e3bb464c relacionados URLs maliciosas: C & C: hxxp: [.] [.] [.] // 32 235 102 123: 1337 Enlace de descarga y los cuentagotas hxxp: [.] [.] // ililililililililil hopto org / shiina / tmp.arm7 hxxp : // ililililililililil hopto org / shiina / tmp.mips [.] [.] hxxp: // ililililililililil hopto org / love.sh [.] [.] credenciales utilizadas: 12345 666666 888888 20.080.826 / ADMIN / 1q2w3e4r5 3ep5w2u admintelecom anko cisco predeterminado e8ehome e8telnet guest hi3518 hi3518 hunt5759 IPCam @ sw ipcam_rt5350 juantech juantech jvbzd jvbzd klv123 klv1234 klv1234 contraseña qwerty QwestM0dem service service smcadmin supervisor support svgodie system telecomadmin ubnt xc3511 xmhdipc xmhdpic zsun1188 Zte521
Descargue el libro electrónico gratuito para obtener información sobre los pasos completos para la implementación y mitigación de la seguridad empresarial: descargue el libro electrónico gratuito aquí .
Fuente: gbhackers.com
