Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Moose, el gusano que ataca routers basados en Linux con contraseñas por defecto




Linux / Moose no cuenta con un mecanismo de persistencia y no proporciona una puerta trasera con acceso shell al operador de la botnet. Tampoco explota ninguna vulnerabilidad durante su funcionamiento, simplemente se propaga mediante la búsqueda de routers con contraseñas por defecto o contraseñas débiles. Su objetivo principal: robar e interactuar en las redes sociales (Facebook, Twitter, Instagram, Youtube, etc)







Linux / Moose es una novedad si tenemos en cuenta que las amenazas más habituales en estos días cuando se infectan rotuers se utilizan para llevar a cabo ataques DDoS. Teniendo en cuenta las técnicas rudimentarias utilizadas por Moose con el fin de tener acceso a otros dispositivos, es lamentable que la seguridad de los dispositivos integrados no se tome más en serio por  parte de todos los vendedores.

Con el aumento de la conectividad y la proliferación de dispositivos basados en Linux, algo se tendrá que hacer  en este aspecto  Esperamos que esta publicación ayude a los vendedores entender mejor cómo los actores maliciosos están apuntando sus dispositivos.

Los investigadores de seguridad Olivier Bilodeau y Thomas Dupuy de We Live Security han estado investigando el funcionamiento de una nueva amenaza, Moose, creada especialmente para infectar routers basados en Linux alrededor de todo el mundo. El white paper se puede descargar aquí:


Los Investigadores de ESET han ejecutado para monitorizar para recoger información operativa acerca de la amenaza. Esta información incluye la que fueron objeto las redes sociales y las interacciones no cifradas entre los operadores, el huésped infectado y el objetivo redes sociales.

Los dispositivos comprometidos se utilizan para robar el tráfico de red sin cifrar y ofrecer servicios de proxies para el operador de la botnet. En la práctica, estas capacidades se utilizan para robar cookies HTTP en los sitios de redes sociales populares y realizar acciones fraudulentas como clicks no legítimo de "follow", "views" y "likes" en tales sitios.

El monitoreo que hicieron de la botnet indica que esta amenaza se usa para robar cookies HTTP no cifradas en sitios de redes sociales populares y para cometer fraudes, como por ejemplo usar una conexión SOCKS integrada en el malware para contactarse con un servidor proxy y así “seguir” cuentas o “ver” videos de estas redes populares.

Durante nuestro análisis, con frecuencia nos preguntábamos: ¿para qué poner tanto esfuerzo en interactuar con las redes sociales? Pero, por supuesto, existe un mercado para comprar seguidores de Twitter, Me Gusta de Facebook, visualizaciones de YouTube, entre muchas otras cosas más. Los operadores de esta botnet generan ganancias mediante los fraudes de redes sociales. Gracias a los routers infectados, pueden distribuir tráfico malicioso a través de las redes sociales aprovechando la buena reputación de las direcciones IP de proveedores de servicios de Internet (ISP) confiables.


Al monitorear durante un mes uno de los hosts infectados, notamos que el tráfico se dirigía a los siguientes sitios de redes sociales:
  • Fotki (Yandex)
  • Instagram (Facebook)
  • Live (Microsoft)
  • Soundcloud
  • Twitter
  • Vine
  • Yahoo
  • Youtube (Google)

Moose DNA

Linux/Moose es un archivo ejecutable estándar llamado elan2 para Linux que tiene la forma de un binario ELF compilado en forma estática, al que se le quitaron todos los símbolos de depuración.  Utiliza µClibc como su biblioteca C. Se basa en gran medida de multithreading, con más de 30 procesos que se ejecutan simultáneamente durante una infección habitual.

file elan2elan2: ELF 32-bit MSB executable, MIPS, MIPS32 version 1 (SYSV), statically linked, stripped

También incluye técnicas de ofuscación para los strings (cadenas de texto) que son enviadas a través de la red.

Los strings ofuscados con un simple algoritmo pueden ser leídas con el siguiente script de Python:

def decrypt_cnc_msg(ct):

""" Decrypt strings ct: bytearray of the ciphertext returns bytearray of the plaintext """

# seed

k = 0xff

for i in reversed(range(len(ct))):

# XOR with previous

k = ct[i] = ct[i] ^ k

return ct

¿Cuántos routers están afectados?


A pesar de todos los esfuerzos no hemos podido hacer una estimación fiable del número de routers afectados. Esto se debe en parte al hecho de que el malware ha sido construido para que sea difícil hacer una estimación. No existe un protocolo peer-to-peer, utiliza una dirección IP codificada en lugar de DNS para el C & C, ya pesar de que la puerta trasera está escuchando en la Internet en el puerto 10073 para ofrecer su servicio de proxy, sólo las direcciones IP en una lista blanca se les permite conectar. Otra razón de nuestra falta de éxito es la falta de ecosistemas herramientas de seguridad (como antivirus) en sistemas embebidos. Por último, los proveedores de alojamiento donde se encuentran el C & C fueron reacios a cooperar, lo cual no ayuda

Por último, pedimos a nuestros amigos de Rapid7 escanear Internet tanto en el puerto 10073 y 23 (Telnet)
con el fin de tener una idea de cuántos dispositivos orientados a Internet escuchan ambos puertos.

Resulta que aproximadamente 1 millón de direcciones IP encajan en esa descripción.

Si eliminamos los dispositivos que no tenían bandera Telnet, ese número se redujo a alrededor de 50.000 hosts potencialmente infectados.

Sin embargo, este número es probablemente una sobreestimación debido a la naturaleza salvaje de la Internet y sin embargo también podría ser una subestimación, ya que muchos dispositivos inalcanzables públicamente y por lo tanto incontables podrían estar infectados. Todos estos indicadores tomados juntos, mientras que solamente conjeturas educadas, nos lleva a pensar que esta amenaza es real y debe ser tomado en serio.

Marcas de modelos de routers afectados


3Com, Alcatel-Lucent, Allied Telesis, Avaya, Belkin, Brocade, Buffalo, Celerity, Cisco, D-link, Enterasys, Hewlett-Packard, Huawei, Linksys, Mikrotik, Netgear, Meridian, Nortel, SpeedStream, Thomson, TP-Link, Zhone, ZyXEL

Desinfección

Reinicia el dispositivo afectado y luego cambia tu contraseña lo antes posible. Sin embargo, recuerda que los operadores accedían al sistema infectado a través de credenciales que eran de su conocimiento, que también sabían su dirección IP y que contaban con los medios para acceder a su consola interactiva.
Es posible que hayan accedido en forma manual, lo que significa que pueden volver a infectar el dispositivo y pueden hacer modificaciones permanentes en el firmware (el enlace está en alemán). Lo mejor probablemente sea restablecer la configuración del dispositivo a su versión de fábrica, actualizar o reinstalar el firmware y cambiar la contraseña.

Prevención

Cambia las contraseñas predeterminadas en los equipos de red aunque no se pueda acceder a ellos desde Internet. Deshabilita el protocolo Telnet para inicio de sesión y utiliza SSH siempre que sea posible.
Asegúrate de que no se pueda acceder a tu router desde Internet en los puertos 22 (SSH), 23 (Telnet), 80 (HTTP) y 443 (HTTPS). Si no sabes cómo hacerlo, cuando estés en casa, usa la exploración de puertos comunes (“common ports”) en el servicio ShieldsUP de GRC.com. Verifica que los puertos mencionados arriba tengan el estado “Stealth” (oculto) o “Closed” (cerrado).

También se recomienda tener el último firmware que ofrece el fabricante de tu dispositivo con Linux integrado.


Fuente:

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.