La aparición de la botnet se remonta a este verano y está vinculada a la revelación de una falla de seguridad importante en una aplicación web instalada en más de 215.000 servidores, que es la carne de cañón perfecta para construir una botnet en la parte superior.

En agosto, el equipo detrás de Webmin, una aplicación de administración remota basada en web para sistemas Linux, reveló y parcheó una vulnerabilidad que permitía a los atacantes ejecutar código malicioso con privilegios de root y hacerse cargo de las versiones anteriores de Webmin.

Debido a la fácil explotación de la falla de seguridad y la gran cantidad de sistemas vulnerables, los ataques contra las instalaciones de Webmin comenzaron días después de que se revelara la vulnerabilidad.

La nueva botnet Roboto

El equipo de Netlab en el proveedor chino de ciberseguridad Qihoo 360 dijo [Chinese, English] que uno de esos primeros atacantes era una nueva red de bots que actualmente están rastreando bajo el nombre de Roboto. Durante los últimos tres meses, esta botnet ha seguido apuntando a servidores Webmin.

Según el equipo de investigación, el enfoque principal de la botnet parece haber sido la expansión, con la botnet creciendo en tamaño, pero también en la complejidad del código.

Actualmente, la característica principal de la botnet parece ser una capacidad DDoS. Por otro lado, mientras que la capacidad DDoS está en el código, Netlab dice que nunca han visto a la botnet realizar ataques DDoS, y los operadores de botnet parecen haberse centrado principalmente en los últimos meses en aumentar el tamaño de la botnet.

Según Netlab, la función DDoS podría lanzar ataques a través de vectores como ICMP, HTTP, TCP y UDP. Pero además de los ataques DDoS, el robot Roboto que está instalado en sistemas Linux hackrados (a través de la falla de Webmin) también puede:

  • Funciona como un shell inverso y deja que el atacante ejecute comandos de shell en el host infectado
  • Recopile información del sistema, el proceso y la red del servidor infectado
  • Subir datos recopilados a un servidor remoto
  • Ejecute los comandos del sistema Linux ()
  • Ejecuta un archivo descargado desde una URL remota
  • Desinstalarse

Una botnet P2P rara

Pero no hay nada especial en las características anteriores, ya que muchas otras botnets IoT / DDoS vienen con funciones similares, consideradas características básicas de cualquier infraestructura moderna de botnets.

Sin embargo, lo que es exclusivo de Roboto es su estructura interna. Los bots se organizan en una red P2P y transmiten los comandos que reciben de un servidor central (C&C) comandos entre sí, en lugar de que cada bot se conecte a los principales C&C.

Según Netlab, la mayoría de los bots son zombies, que transmiten comandos, pero algunos también se seleccionan para apuntalar la red P2P o trabajar como escáneres para buscar otros sistemas Webmin vulnerables, para expandir aún más la botnet.

Roboto

La estructura P2P es notable porque las comunicaciones basadas en P2P rara vez se ven en las botnets DDoS, y las únicas que se sabe que usan P2P son Hajime [1, 2, 3, 4] y Hide’N’Seek.

Si los operadores de Roboto no apagan la botnet por su cuenta, desmontarla será una tarea muy difícil. Los esfuerzos para acabar con la botnet Hajime han fallado en el pasado y, según una fuente, la botnet sigue fortaleciéndose, con 40.000 bots infectados en un promedio diario y, a veces, alcanzando un máximo de 95.000.

Si Roboto alguna vez alcanzará ese tamaño, queda por determinar, pero la botnet no es más grande que Hajime, según las fuentes.

Fuente: ZDNet

Compartir