Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Servidor de control de una Botnet IoT utiliza contraseñas por defecto




Una Botnet llamada Owari que se nutre de dispositivos conectados a internet (IoT) ha sido descubierta usando el servidor de comando y control (C&C) con el usuario y contraseña: root:root. en el servidor MySQL. Resulta bastante irónico que una botnet que se aprovecha precisamente de los dispostivos que usan contraseñas por defecto, utilicen ellos mismos una combinación de usuario y contraseña tan previsible.




  • Owari, una cepa de malware que infecta dispositivos IoT usando credenciales débiles o predeterminadas.
  • El servidor MySQL del C&C admite conexiones remotas con los credenciales root/root
  • Parece que los autores de botnets no aprenden nada de las víctimas

Una variante de IoT botnet, llamada Owari, descubierta poo Ankit Anubhav, investigador principal de NewSky Security, una empresa de ciberseguridad especializada en seguridad de IoT explica que utilizan redenciales predeterminadas o débiles para hackear dispositivos IoT inseguros y se encontró usando credenciales predeterminadas en su servidor MySQL integrado con el servidor de comando y control, permitiendo que cualquiera pueda leer / escribir en su base de datos.

Parece que en su prisa por hacerse cargo de los dispositivos IoT que se ejecutan con credenciales débiles, los autores de botnets se olvidaron de elegir un combo de nombre de usuario y contraseña más fuerte para su base de datos del servidor de comando y control (C&C)

Debido a este error, Anubhav pudo obtener acceso a estas botnets y recuperar detalles sobre los dispositivos infectados, pero también sobre los operadores de botnets e incluso sobre algunos de los clientes a los que alquilaron la botnet para ataques DDoS.

Base de datos MySQL de Owari

Mirai botnet fue diseñada para configurar un servidor MySQL para el comando y control que contiene tres tablas, usuarios, historial y lista blanca. Si bien los botnets IoT han evolucionado y muchos de ellos tienen diferentes vectores de ataque, la mayoría de ellos aún conservan esta estructura probada de servidor MySQL, y Owari no es ninguna excepción a esto.

Observaron unas pocas IP atacando a sus honeypots con credenciales predeterminadas, con la ejecución de comandos como / bin / busybox OWARI publicando el inicio de sesión exitoso. En uno de los casos, se intentó ejecutar una carga útil alojada en 80 (.) 211 (.) 232 (.) 43 después de la descarga.

Cuando investigaron la IP, observaron que el puerto 3306, el puerto predeterminado para la base de datos MySQL, estaba abierto.

Intentaron investigar más sobre esa IP. Para su sorpresa, está conectado a los servidores del atacante con una de las credenciales más débiles conocidas por toda la humanidad.

  • Nombre de usuario: root
  • Contraseña: root

La tabla de usuario contiene los credenciales de inicio de sesión para varios usuarios que controlarán la botnet. Algunos de ellos pueden ser los propios creadores de botnets, o algunos pueden ser los clientes de la botnet, es decir, los usuarios de Black Box, que pagan una suma de dinero para lanzar ataques DDoS. Además de credenciales, límite de duración, por cuánto tiempo el usuario puede realizar DDoS, máximo bots disponibles para ataque (-1 significa que todo el ejército botnet del maestro bot está disponible) y tiempo de enfriamiento (intervalo de tiempo entre los dos comandos de ataque) puede también ser observado

En el caso específico de Owari, observamos a un usuario con un límite de duración de 3600 segundos con un uso permitido de bots establecido en -1 (máximo). Se observa que las credenciales de todos estos usuarios de botnet también son débiles.

En la tabla de historial, podemos ver el ataque DDoS llevado a cabo contra varias direcciones IP. Pocos de estos IP estaban relacionados con IoT botnet, lo que nos llevó a especular que el atacante podría haber intentado atacar a sus operadores de botnet rivales.

Tabla de historial

En la siguiente tabla, la lista blanca que se supone que tiene una información de "no atacar estos IP" estaba vacía, lo que implica que el robot no discrimina y ataca a todos los dispositivos que puede.

Tabla de lista blanca

Esta IP no era un caso independiente con su base de datos expuesta a través de credenciales débiles. La base de datos MySQL de otro ataque IP (80.211.45.89) fue accesible con credenciales "root:root".


Lamentablemente, la mayoría de las botnets IoT no son casos tan simples. Estas IP relacionadas con CNC ya tienen una vida útil muy baja (de promedio, una semana). Los operadores de botnets son conscientes de que sus direcciones IP se marcarán pronto debido al tráfico de red maligno.

Fuentes:
https://blog.newskysecurity.com/hacker-fail-iot-botnet-command-and-control-server-accessible-via-default-credentials-2ea7cab36f72

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.