nuevas variantes observadas del paquete de botnet algoritmo de generación de dominio Mirai (DGA) características que no han sido asociados con anteriores muestras Mirai, los investigadores de seguridad advierten.
Mirai surgió hace varios meses como otro Internet de los objetos botnet (IO), pero logró hacerse un nombre por sí rápido, después de que se utilizó en gran denegación de servicio distribuido (DDoS) contra las páginas web de seguridad blogger Brian Krebs y hospedaje proveedor de OVH a finales de septiembre. Sin embargo, fue sólo después de que el código fuente del software malicioso se hizo público a principios de octubre que el interés por Mirai pinchos.
A finales del mes de octubre, los investigadores encontraron que Mirai dispositivos infectados en 164 países de todo el mundo, se aprovechan de sus credenciales de seguridad débiles . También en octubre, se dijo Mirai que se han utilizado en un ataque masivo DDoS contra el proveedor de DNS Dyn , lo que resultó en muchos sitios web populares sean inaccesibles para algunos de sus usuarios.
Como era de esperar, la disponibilidad pública del código fuente de Mirai dio lugar a numerosas variantes de malware nuevo que se está creando, incluyendo un gusano basado en Mirai que utiliza el protocolo TR-064 para enviar comandos a los dispositivos infectados. Según los investigadores con laboratorio de investigación de seguridad de la red en 360, existen al menos 53 muestras únicas Mirai, dado que han sido capturados por sus honeypots de 6 servidores de alojamiento.
Lo que es más, los investigadores revelan que recién manchados muestras Mirai que se propagan a través de los puertos TCP 7547 y 5555. Por otra parte, los investigadores descubrieron que el autor de malware que utiliza la dirección de correo electrónicodlinchkravitz [at] gmail [dot] com ya ha registrado algunos de los generada dominios.
Según los investigadores de seguridad, las muestras de malware analizados utilizan 3 dominios de nivel superior (TLD), a saber. en línea, .tech, y .support , con cada capa 2 (L2) dominio que tiene una longitud fija de 12 bytes, con cada personaje elegido al azar de 'a' a la 'z'. Los investigadores de seguridad también en cuenta que el dominio generada se determina solamente por el mes, el día y la cadena de semillas codificado.
fuente: http: //securityweek.comsecurityweek
No hay comentarios:
Publicar un comentario