CONOCIMIENTO pertenece al mundo
Después de un fallido intento de derribo, los cambios realizados en la variante de malware Mirai responsable de construir una de las mayores redes de bots de la actualidad de los dispositivos IO harán que sea muy difícil para las autoridades y empresas de seguridad para apagarlo.
La semana pasada, los investigadores de seguridad de NetLab de Qihoo 360 descubrieron una variante del malware Mirai IO que utilizó un DGA (algoritmo de generación de dominio) como un sistema de comunicaciones de respaldo a su (C & C) los servidores de comando y control.
Por lo general, todas las variantes de Mirai utiliza una lista de dominios codificada en código de fuente del software malicioso para contar los dispositivos infectados que informe al servidor del atacante, para que pueda realizar un seguimiento de las infecciones activas, y enviar comandos para lanzar ataques DDoS.
Cuando los investigadores detectaron NETlab la DGA, y los investigadores posteriores de OpenDNS, esto fue una sorpresa.
DGA sistemas son muy complejos y se encuentran a menudo en el malware de primera plataforma, tales como troyanos, puertas traseras bancarios sofisticados utilizados para las actividades de espionaje cibernético o superiores familias ransomware como Locky o cryptolocker.
BOTNETS MALWARE BASADO EN LA DGA SON DIFÍCILES DE DESMONTAR
Una DGA es un algoritmo que genera un nombre de dominio al azar, que el malware utiliza para hablar con su servidor de C & C. DGA algoritmos son configurables, para que puedan generar nuevos nombres de dominio a intervalos regulares.
Sólo el autor del malware se sabe cómo funciona esto un DGA, y lo utilizan para predecir que domina la DGA va a generar, comprar los nombres de dominio de antemano, y luego instalar el backend del servidor C & C por adelantado, esperando a que los robots infectados para cambiar a la nuevo dominio.
Debido a los cambios de C & C en un período regular, es muy difícil para las autoridades policiales para acabar con estos tipos de redes de bots. Esto generalmente implica la compra de cientos o miles de dominios de antemano y requiere un alto nivel de coordinación entre la policía, las empresas de seguridad, y los registradores de dominios.
Se puede ver las ventajas de ejecutar el malware con un DGA, incluso si se utiliza como un sistema de copia de seguridad.
LOS INVESTIGADORES CHINOS SE AGRIETAN MIRAI BOTNET # 14 DE LA DGA
Además de la detección de nuevas variantes Mirai, los investigadores también han roto NETlab algoritmo DGA del malware. En una entrada de blog de la semana pasada, los investigadores de seguridad chinas publicaron detalles acerca de cómo la DGA
trabajadas, y todos los dominios de esta variante Mirai estaba a punto de utilizar en las próximas semanas.
De acuerdo con el investigador de seguridad MalwareTech, esto no era una variante Mirai al azar, pero el responsable de la construcción de la mayor red de bots Mirai conocido hasta la fecha, que en un momento a finales de noviembre, principios de diciembre, alcanzó los 3,2 millones de robots infectados.
Apodado Botnet # 14, o Annie, esta es la misma botnet que intentó una enorme ataque DDoS contra varios ISP liberianas y trató de secuestrar 900.000 routers ISP del alemán Deutsche Telekom. Del mismo modo, unos días más tarde, Mirai Botnet # 14 también intentó secuestrar 100.000 enrutadores de ISP del Reino Unido Oficina de Correos y TalkTalk.
Adición de una DGA a esta botnet masiva dio a los investigadores los escalofríos, más sabiendo que tendrían una tarea monumental por delante de ellos, si es que alguna vez quisieron apagarlo.
BOTNET # 14 ELIMINA DGA PARA SORPRESA DE TODOS
Sin embargo, para sorpresa de todos, en menos de una semana, la característica DGA había sido eliminado, ya que la misma MalwareTech también había observado.
Bleeping Computer había estado en contacto con BestBuy, el nombre del pirata informático que gestiona la red de bots # 14. BestBuy previamente había estado alquilando el acceso a su red de bots.
"Nosotros no usamos más, no importa", dijo BestBuy que pita por ordenador en una conversación privada en lo que respecta a los investigadores de craqueo NETlab la DGA.
"Fue utilizado desde [Diciembre] el 4 hasta el día 10", agregó. "Una variante aún tenía por error."
Por otra parte, BestBuy dijo que los investigadores podrían haber cometido un error en sus cálculos cuando el agrietamiento de la DGA. "Prácticamente se compraron 365 dominios equivocados", dijo el hacker.
DGA SE UTILIZÓ SÓLO UNA SEMANA PARA EVITAR UN INTENTO DE DERRIBO
"Fue sólo temporalmente," BestBuy también dicho acerca de la DGA, "no tenía ningún método de autenticación ni nada, es decir, cualquiera podría lograr el control de los robots."
El hacker también derribado cualquier teoría que esto era sólo una prueba. "No, no es una prueba", dijo. "Nivel 3 y otros estaban todo sobre nosotros. Sólo necesitábamos para asegurar el control durante esos días, eso es todo ".
Pero BestBuy ciertamente no es nuevo en esto. El hacker sabe muy bien que las redes de bots que se basan en los dominios codificados son presa fácil. De hecho, eso fue lo que Nivel3 y otros estaban tratando de hacer.
Como resultado, se creó el canal de comunicaciones de copia de seguridad del servidor C & C. En primer lugar, se utiliza la DGA, ahora se utiliza otra cosa.
BOTNET # 14 CAMBIA A TOR
"Inteligentes [de seguridad] empresas verán la variante Tor patadas en," dijo. "Está todo bien ahora. No necesitamos que pagar miles de proveedores de Internet y de alojamiento. Todo lo que necesitamos es un servidor fuerte ".
"Intenta apagar 'dominios' .onion sobre Tor", se jactó BestBuy, haciendo alusión a la difícil tarea de encontrar los servidores ocultos en la red Tor, algo que el FBI ha tenido dificultades para el seguimiento durante años.
Contactado por ordenador que pita, Jamz Yaneza, Gerente de investigación de amenazas de Trend Micro, siempre que la misma información.
"El uso (o más bien el abuso) de la red de la cebolla es bastante común, ya que proporciona una medida de anonimato para el bot-pastor," dijo Yaneza. "También plantea retos importantes para cualquiera que trate de identificar el verdadero culpable detrás de los ataques DDoS."
Esto no es algo nuevo. El experto de Trend Micro nos indicó una charla en la conferencia de seguridad Defcon 18, que tuvo lugar en 2010 cuando los investigadores primera detallan el uso de Tor para el canal de comunicaciones de una red de bots.
Algunos usuarios, al comentar un artículo sobre Mirai en el blog KrebsOnSecurity, habían esperado esto.
"Los delincuentes cibernéticos se acaba de empezar a usar TOR para conectarse a un servidor de comando y control a través de un proxy, y después toman bajadas serán casi imposible", escribió un usuario.
En el otro lado del espectro, hay algunas personas que dudar de los comentarios de BestBuy, diciendo que los dispositivos IO no cuentan con los recursos físicos para funcionar paquete de software de Tor.
SIN VARIANTE MIRAI + TOR DETECTADO POR LAS EMPRESAS DE SEGURIDAD, HASTA EL MOMENTO
Para ser justos, sin firma de seguridad o investigador individual ha informado de ver una variante Mirai que usa Tor como un sistema de copia de seguridad de C & C. Bleeping ordenador se ha acercado a varias empresas de seguridad esta semana, con la esperanza de confirmar los comentarios de BestBuy, pero no hemos recibido respuesta a nuestras preguntas.
Sin embargo, el hecho de que Botnet # 14 sigue en pie sirve como un testimonio de habilidades de codificación de BestBuy. Una botnet que ha lanzado varios ataques DDoS de alto perfil y los intentos de secuestro del router, y todavía está de pie, sin duda tiene uno o más trucos bajo la manga.
De acuerdo con solicitudes aún no confirmados de BestBuy, uno de ellos es el uso de Tor para controlar los robots de seguridad cuando las empresas toman por sus principales dominios C & C.
Si esto es verdad o simplemente una afirmación falsa que queda por determinar, pero Botnet # 14 sigue en pie, y la Navidad está cada vez más cerca para Steam, Xbox y la PlayStation Network.
Fuente: https: //www.bleepingcomputer.com/
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario