Los investigadores descubrieron una nueva ola de Mirai Variant que utilizó 13 ataques diferentes para atacar varios modelos de enrutadores y otros dispositivos de red.

El malware Mirai tiene registros sólidos de infectar mal los dispositivos IoT y realizar ataques DDOS en varias plataformas.

Mirai apunta a varios enrutadores diferentes, incluyendo D-Link, Linksys, GPON, Netgear, Huawei y otros dispositivos de red como ThinkPHP , múltiples proveedores de CCTV-DVR , UPnP , grabadoras de video digitales MVPower y grabadora de video en red de Vacron.

Esta es la primera vez que usamos los 13 exploits juntos en una sola campaña, incluyendo algunos de los exploits que se usaron en el ataque anterior.

Inicialmente, la nueva variante de Mirai se encuentra en el sistema de honeypot que implementó Trend Micro y busca dispositivos IoT para explotar varias vulnerabilidades que incluyen la ejecución remota de código (RCE).) Autenticación de bypass e inyección de comandos.

Según Trend Micro ”, mostró que este malware utilizaba diferentes medios de propagación y también reveló el uso de tres claves XOR para cifrar datos. Descifrar las cadenas de malware utilizando XOR reveló uno de los primeros indicadores relevantes de que el malware es una variante de Mirai «.

Variant Mirai Exploits

Los investigadores encontraron diferentes URL que están asociadas con la variante de Mirai, incluido el enlace de comando y control (C&C) y los enlaces de descarga y dropper.

El nuevo código de variante de Mirai revela más información sobre el proceso de infección, especialmente, las primeras 3 explotaciones que analizan las vulnerabilidades específicas en ThinkPHP, ciertas Huawei, Linksys enrutadores y también un escáner para otras 10 vulnerabilidades utilizadas en este ataque.

También realiza un ataque de fuerza bruta utilizando capacidades que utilizan varias credenciales comunes.

Las explotaciones asociadas a Mirai Variant aprovechan las diferentes vulnerabilidades que se encuentran en los enrutadores, productos de vigilancia y otros dispositivos

Explotar Vulnerabilidad y dispositivos afectados. Ataques relevantes
1 Vacron NVR CVE Una vulnerabilidad de ejecución remota de código (RCE) para dispositivos grabadores de video en red (NVR) de Vacron Omni
2 CVE-2018-10561, CVE-2018-10562 La omisión de autenticación y las vulnerabilidades de inyección de comando, respectivamente, para los enrutadores de red óptica pasiva (GPON) gigabit de Dasan Omni
Mirai-como la exploración
3 CVE-2015-2051 Vulnerabilidad de ejecución del comando SOAPAction-header del Protocolo de administración de red doméstica (HNAP) que funciona en ciertos dispositivos D-Link Omni
Hakai
4 CCTV-DVR RCE Vulnerabilidades de RCE para múltiples proveedores de CCTV-DVR Omni
Yowai
5 CVE-2014-8361 Vulnerabilidad de ejecución del comando SOAP (Protocolo simple de acceso a objetos) de Plug and Play (UPnP) que afecta a diferentes dispositivos utilizando el kit de desarrollo de software (SDK) de Realtek con el demonio miniigd Omni
6 Ejecución de comando UPnP SOAP TelnetD Ejecución del comando UPnP SOAP que explota vulnerabilidades en dispositivos D-Link Omni
7 Eir WAN inyección de comando remoto lateral Inyección de comandos remotos en el lado de la red de área amplia (WAN) para los enrutadores inalámbricos Eir D1000 Omni
8 Netgear Setup.cgi RCE RCE para dispositivos Netgear DGN1000 Omni
9 CVE-2016-6277 Vulnerabilidad que puede permitir la ejecución de comandos arbitrarios remotos en dispositivos Netgear R7000 y R6400 InfecciónOmni
VPNFilter
10 Ejecución del comando de shell MVPower DVR Vulnerabilidad RCE no autenticada en grabadoras de video digital (DVR) MVPower Omni
11 CVE-2017-17215 Vulnerabilidad de ejecución de comando arbitraria en los enrutadores Huawei HG532 Omni
Satori
Miori
12 Linksys RCE Vulnerabilidad RCE en los enrutadores de la serie E de Linksys La luna
13 ThinkPHP 5.0.23 / 5.1.31 RCE RCE para el marco de desarrollo web de código abierto ThinkPHP 5.0.23 / 5.1.31 Hakai
Yowai

Entre las 13 vulnerabilidades, 11 ya se habían utilizado en la campaña de la variante Mirai anterior en 2018 y otras 2 vulnerabilidades son completamente nuevas que se pueden usar contra Linksys y ThinkPHP RCE.

El atacante detrás de esta nueva variante podría simplemente haber copiado el código de otros ataques, y con ello las vulnerabilidades que estos casos anteriores habían utilizado.

Se recomienda a los usuarios cambiar las credenciales predeterminadas en el enrutador para evitar los ataques basados ​​en credenciales.

Indicadores de Compromiso (IoC)

Hash SHA-256 relacionado detectado como  Backdoor.Linux.MIRAI.VWIPT :

c15382bc81e1bff4cf03d769275b7c4d2d586a21e81ad4138464d808e3bb464c 

relacionados URLs maliciosas:

C & C: hxxp: [.] [.] [.] // 32 235 102 123: 1337 

Enlace de descarga y los cuentagotas

hxxp: [.] [.] // ililililililililil hopto org / shiina / tmp.arm7 
hxxp : // ililililililililil hopto org / shiina / tmp.mips [.] [.] 
hxxp: // ililililililililil hopto org / love.sh [.] [.] 

credenciales utilizadas:

12345 
666666 
888888 
20.080.826 
/ ADMIN / 
1q2w3e4r5 
3ep5w2u 
admintelecom 
anko 
cisco 
predeterminado 
e8ehome 
e8telnet 
guest 
hi3518 
hi3518 
hunt5759 
IPCam @ sw 
ipcam_rt5350 
juantech
juantech 
jvbzd 
jvbzd 
klv123 
klv1234 
klv1234 
contraseña 
qwerty 
QwestM0dem 
service 
service 
smcadmin 
supervisor 
support 
svgodie 
system 
telecomadmin 
ubnt 
xc3511 
xmhdipc 
xmhdpic 
zsun1188 
Zte521

Descargue el libro electrónico gratuito para obtener información sobre los pasos completos para la implementación y mitigación de la seguridad empresarial:  descargue el libro electrónico gratuito aquí .

Fuente: gbhackers.com

Compartir