Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
983
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
mayo
(Total:
35
)
- Locker es el primer ransomware que espera instrucc...
- Madrid ya navega con los 1.000 Mbps de Fibra FAST!...
- El fiscal pide más de 5 años de cárcel para la cúp...
- Comparativa de 18 antivirus para Linux
- La herramienta de análisis IDA reinicia las claves...
- Denegar ejecución de programas a un usuario de Win...
- El 97% de los usuarios no es capaz de identificar ...
- Las API's de Windows más utilizadas por el malware
- Kali Linux presenta su contenedor Docker oficial b...
- Moose, el gusano que ataca routers basados en Linu...
- Rombertik: Un maestro de evasión de técnicas de an...
- Nuevo ransomware para Android también pide rescate...
- Obnoxious, otro miembro de Lizard Squad detenido e...
- Nuevo truco para bypassear UAC en Windows
- Google recomienda evitar el uso de la "Preguntas s...
- La NSA planeaba espiar a los usuarios teléfonos mó...
- Reporte trimestral Akamai ataques DDoS en 2015: SS...
- Presentación del Libro CiberCrimen de Mercè Molist
- Disco de recuperación de Windows 7 y 8
- Adolescente de 15 años quema un ordenador de su co...
- Nueva variante de TeslaCrypt permite chatear con l...
- Parche de Oracle para la vulnerabilidad Venom en l...
- Ofuscación de Macros maliciosas en Documentos Word
- Una extensión para Chrome permite ver los amigos o...
- Google cerrará el servicio PageSpeed el 3 de agosto
- Microsoft Powershell DSC ahora disponible para Linux
- Rombertik: malware que intenta escribir en el MBR ...
- Tarjeta controladora (PCB Printed Circuit Board) d...
- Office 2016 permitirá la edición de documentos en ...
- Bokken, interfaz gráfica (GUI) para Radare y pyew
- NoSuchApp para Android decubre apps que se conecta...
- CCN-CERT: Medidas de seguridad contra el Ransomware
- TeslaCrypt, una variante del ransomware CryptoLock...
- Introducción a los ataques DDoS basados en JavaScript
- Se cumplen 15 años del Virus I Love You
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
348
)
ransomware
(
337
)
vulnerabilidad
(
297
)
Malware
(
260
)
Windows
(
242
)
android
(
239
)
tutorial
(
233
)
cve
(
231
)
manual
(
218
)
software
(
201
)
hardware
(
189
)
linux
(
123
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
84
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
50
)
youtube
(
50
)
adobe
(
43
)
firmware
(
41
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un Actor de Amenazas que opera bajo el nombre de usuario Nam3L3ss ha explotado una vulnerabilidad crítica en MOVEit de 2023, un software ...
-
Los procesadores Intel y AMD han vivido una importante renovación en los últimos dos años. El gigante de Sunnyvale mantuvo su apuesta por ...
Moose, el gusano que ataca routers basados en Linux con contraseñas por defecto
miércoles, 27 de mayo de 2015
|
Publicado por
el-brujo
|
Editar entrada
Linux / Moose no cuenta con un mecanismo de persistencia y no proporciona una puerta trasera con acceso shell al operador de la botnet. Tampoco explota ninguna vulnerabilidad durante su funcionamiento, simplemente se propaga mediante la búsqueda de routers con contraseñas por defecto o contraseñas débiles. Su objetivo principal: robar e interactuar en las redes sociales (Facebook, Twitter, Instagram, Youtube, etc)
Linux / Moose es una novedad si tenemos en cuenta que las amenazas más habituales en estos días cuando se infectan rotuers se utilizan para llevar a cabo ataques DDoS. Teniendo en cuenta las técnicas rudimentarias utilizadas por Moose con el fin de tener acceso a otros dispositivos, es lamentable que la seguridad de los dispositivos integrados no se tome más en serio por parte de todos los vendedores.
Con el aumento de la conectividad y la proliferación de dispositivos basados en Linux, algo se tendrá que hacer en este aspecto Esperamos que esta publicación ayude a los vendedores entender mejor cómo los actores maliciosos están apuntando sus dispositivos.
Los investigadores de seguridad Olivier Bilodeau y Thomas Dupuy de We Live Security han estado investigando el funcionamiento de una nueva amenaza, Moose, creada especialmente para infectar routers basados en Linux alrededor de todo el mundo. El white paper se puede descargar aquí:
Los Investigadores de ESET han ejecutado para monitorizar para recoger información operativa acerca de la amenaza. Esta información incluye la que fueron objeto las redes sociales y las interacciones no cifradas entre los operadores, el huésped infectado y el objetivo redes sociales.
Los dispositivos comprometidos se utilizan para robar el tráfico de red sin cifrar y ofrecer servicios de proxies para el operador de la botnet. En la práctica, estas capacidades se utilizan para robar cookies HTTP en los sitios de redes sociales populares y realizar acciones fraudulentas como clicks no legítimo de "follow", "views" y "likes" en tales sitios.
El monitoreo que hicieron de la botnet indica que esta amenaza se usa para robar cookies HTTP no cifradas en sitios de redes sociales populares y para cometer fraudes, como por ejemplo usar una conexión SOCKS integrada en el malware para contactarse con un servidor proxy y así “seguir” cuentas o “ver” videos de estas redes populares.
Durante nuestro análisis, con frecuencia nos preguntábamos: ¿para qué poner tanto esfuerzo en interactuar con las redes sociales? Pero, por supuesto, existe un mercado para comprar seguidores de Twitter, Me Gusta de Facebook, visualizaciones de YouTube, entre muchas otras cosas más. Los operadores de esta botnet generan ganancias mediante los fraudes de redes sociales. Gracias a los routers infectados, pueden distribuir tráfico malicioso a través de las redes sociales aprovechando la buena reputación de las direcciones IP de proveedores de servicios de Internet (ISP) confiables.
Al monitorear durante un mes uno de los hosts infectados, notamos que el tráfico se dirigía a los siguientes sitios de redes sociales:
También incluye técnicas de ofuscación para los strings (cadenas de texto) que son enviadas a través de la red.
Los strings ofuscados con un simple algoritmo pueden ser leídas con el siguiente script de Python:
A pesar de todos los esfuerzos no hemos podido hacer una estimación fiable del número de routers afectados. Esto se debe en parte al hecho de que el malware ha sido construido para que sea difícil hacer una estimación. No existe un protocolo peer-to-peer, utiliza una dirección IP codificada en lugar de DNS para el C & C, ya pesar de que la puerta trasera está escuchando en la Internet en el puerto 10073 para ofrecer su servicio de proxy, sólo las direcciones IP en una lista blanca se les permite conectar. Otra razón de nuestra falta de éxito es la falta de ecosistemas herramientas de seguridad (como antivirus) en sistemas embebidos. Por último, los proveedores de alojamiento donde se encuentran el C & C fueron reacios a cooperar, lo cual no ayuda
Por último, pedimos a nuestros amigos de Rapid7 escanear Internet tanto en el puerto 10073 y 23 (Telnet)
con el fin de tener una idea de cuántos dispositivos orientados a Internet escuchan ambos puertos.
Resulta que aproximadamente 1 millón de direcciones IP encajan en esa descripción.
Si eliminamos los dispositivos que no tenían bandera Telnet, ese número se redujo a alrededor de 50.000 hosts potencialmente infectados.
Sin embargo, este número es probablemente una sobreestimación debido a la naturaleza salvaje de la Internet y sin embargo también podría ser una subestimación, ya que muchos dispositivos inalcanzables públicamente y por lo tanto incontables podrían estar infectados. Todos estos indicadores tomados juntos, mientras que solamente conjeturas educadas, nos lleva a pensar que esta amenaza es real y debe ser tomado en serio.
Linux / Moose es una novedad si tenemos en cuenta que las amenazas más habituales en estos días cuando se infectan rotuers se utilizan para llevar a cabo ataques DDoS. Teniendo en cuenta las técnicas rudimentarias utilizadas por Moose con el fin de tener acceso a otros dispositivos, es lamentable que la seguridad de los dispositivos integrados no se tome más en serio por parte de todos los vendedores.
Con el aumento de la conectividad y la proliferación de dispositivos basados en Linux, algo se tendrá que hacer en este aspecto Esperamos que esta publicación ayude a los vendedores entender mejor cómo los actores maliciosos están apuntando sus dispositivos.
Los investigadores de seguridad Olivier Bilodeau y Thomas Dupuy de We Live Security han estado investigando el funcionamiento de una nueva amenaza, Moose, creada especialmente para infectar routers basados en Linux alrededor de todo el mundo. El white paper se puede descargar aquí:
Los Investigadores de ESET han ejecutado para monitorizar para recoger información operativa acerca de la amenaza. Esta información incluye la que fueron objeto las redes sociales y las interacciones no cifradas entre los operadores, el huésped infectado y el objetivo redes sociales.
Los dispositivos comprometidos se utilizan para robar el tráfico de red sin cifrar y ofrecer servicios de proxies para el operador de la botnet. En la práctica, estas capacidades se utilizan para robar cookies HTTP en los sitios de redes sociales populares y realizar acciones fraudulentas como clicks no legítimo de "follow", "views" y "likes" en tales sitios.
El monitoreo que hicieron de la botnet indica que esta amenaza se usa para robar cookies HTTP no cifradas en sitios de redes sociales populares y para cometer fraudes, como por ejemplo usar una conexión SOCKS integrada en el malware para contactarse con un servidor proxy y así “seguir” cuentas o “ver” videos de estas redes populares.
Durante nuestro análisis, con frecuencia nos preguntábamos: ¿para qué poner tanto esfuerzo en interactuar con las redes sociales? Pero, por supuesto, existe un mercado para comprar seguidores de Twitter, Me Gusta de Facebook, visualizaciones de YouTube, entre muchas otras cosas más. Los operadores de esta botnet generan ganancias mediante los fraudes de redes sociales. Gracias a los routers infectados, pueden distribuir tráfico malicioso a través de las redes sociales aprovechando la buena reputación de las direcciones IP de proveedores de servicios de Internet (ISP) confiables.
Al monitorear durante un mes uno de los hosts infectados, notamos que el tráfico se dirigía a los siguientes sitios de redes sociales:
- Fotki (Yandex)
- Instagram (Facebook)
- Live (Microsoft)
- Soundcloud
- Vine
- Yahoo
- Youtube (Google)
Moose DNA
Linux/Moose es un archivo ejecutable estándar llamado elan2 para Linux que tiene la forma de un binario ELF compilado en forma estática, al que se le quitaron todos los símbolos de depuración. Utiliza µClibc como su biblioteca C. Se basa en gran medida de multithreading, con más de 30 procesos que se ejecutan simultáneamente durante una infección habitual.file elan2elan2: ELF 32-bit MSB executable, MIPS, MIPS32 version 1 (SYSV), statically linked, stripped
También incluye técnicas de ofuscación para los strings (cadenas de texto) que son enviadas a través de la red.
Los strings ofuscados con un simple algoritmo pueden ser leídas con el siguiente script de Python:
def decrypt_cnc_msg(ct):
""" Decrypt strings ct: bytearray of the ciphertext returns bytearray of the plaintext """
# seed
k = 0xff
for i in reversed(range(len(ct))):
# XOR with previous
k = ct[i] = ct[i] ^ k
return ct
¿Cuántos routers están afectados?
A pesar de todos los esfuerzos no hemos podido hacer una estimación fiable del número de routers afectados. Esto se debe en parte al hecho de que el malware ha sido construido para que sea difícil hacer una estimación. No existe un protocolo peer-to-peer, utiliza una dirección IP codificada en lugar de DNS para el C & C, ya pesar de que la puerta trasera está escuchando en la Internet en el puerto 10073 para ofrecer su servicio de proxy, sólo las direcciones IP en una lista blanca se les permite conectar. Otra razón de nuestra falta de éxito es la falta de ecosistemas herramientas de seguridad (como antivirus) en sistemas embebidos. Por último, los proveedores de alojamiento donde se encuentran el C & C fueron reacios a cooperar, lo cual no ayuda
Por último, pedimos a nuestros amigos de Rapid7 escanear Internet tanto en el puerto 10073 y 23 (Telnet)
con el fin de tener una idea de cuántos dispositivos orientados a Internet escuchan ambos puertos.
Resulta que aproximadamente 1 millón de direcciones IP encajan en esa descripción.
Si eliminamos los dispositivos que no tenían bandera Telnet, ese número se redujo a alrededor de 50.000 hosts potencialmente infectados.
Sin embargo, este número es probablemente una sobreestimación debido a la naturaleza salvaje de la Internet y sin embargo también podría ser una subestimación, ya que muchos dispositivos inalcanzables públicamente y por lo tanto incontables podrían estar infectados. Todos estos indicadores tomados juntos, mientras que solamente conjeturas educadas, nos lleva a pensar que esta amenaza es real y debe ser tomado en serio.
Marcas de modelos de routers afectados
3Com, Alcatel-Lucent, Allied Telesis, Avaya, Belkin, Brocade, Buffalo, Celerity, Cisco, D-link, Enterasys, Hewlett-Packard, Huawei, Linksys, Mikrotik, Netgear, Meridian, Nortel, SpeedStream, Thomson, TP-Link, Zhone, ZyXEL
Desinfección
Reinicia el dispositivo afectado y luego cambia
tu contraseña lo antes posible. Sin embargo, recuerda que los
operadores accedían al sistema infectado a través de credenciales
que eran de su conocimiento, que también sabían su dirección IP y que
contaban con los medios para acceder a su consola interactiva.
Es posible que hayan accedido en forma manual, lo que significa que pueden volver a infectar el dispositivo y pueden hacer modificaciones permanentes en el firmware (el enlace está en alemán). Lo mejor probablemente sea restablecer la configuración del dispositivo a su versión de fábrica, actualizar o reinstalar el firmware y cambiar la contraseña.
Prevención
Cambia las contraseñas predeterminadas en los equipos de red aunque no se pueda acceder a ellos desde Internet. Deshabilita el protocolo Telnet para inicio de sesión y utiliza SSH siempre que sea posible.
Asegúrate de que no se pueda acceder a tu router
desde Internet en los puertos 22 (SSH), 23 (Telnet), 80 (HTTP) y 443
(HTTPS). Si no sabes cómo hacerlo, cuando estés en casa, usa la exploración de puertos comunes (“common ports”) en el servicio ShieldsUP de GRC.com. Verifica que los puertos mencionados arriba tengan el estado “Stealth” (oculto) o “Closed” (cerrado).
También se recomienda tener el último firmware que ofrece el fabricante de tu dispositivo con Linux integrado.
Fuente:
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.