viernes, 1 de abril de 2016

Remaiten es un malware orientado a routers y dispositivos loT


Normalmente, los usuarios nos conectamos a Internet mediante un router, generealmente basado en Linux, que se encarga de gestionar toda la red y conectar la LAN con la WAN. Uno de los ataques mas habituales por los piratas informaticos consiste en infectar los routers y asi tener control sobre toda la red de las victimas.

La empresa de seguridad ESET ha detectado una nueva amenaza que infecta routers y dispositivos loT conectados indefinidamente a la red. Este nuevo malware se ha bautizado como Remaiten.

Remaiten es un nuevo malware creado a partir de dos amenazas ya conocidas (Tsunami (también conocido como Kaiten) y Gafgyt) que, a su vez, mejora las principales funciones de estas y añade nuevas para poder llevar a cabo ataques más complejos. Este malware ha sido actualizado a la version 2.2 e incluye comandos wget/tftp y binarios para dispositivos con arquitecturas PowerPC y SuperH pudiendo asi infectar cualquier dispositivo del mercado.

Una vez infectado el router o dispositvo loT en cuestion, este malware recibe ordenes desde un servidor de control e intenta conectarse a direcciones IP aleatorias a través de telnet, utilizando el puerto 23. una vez realizada la conexion, utiliza un diccionario para adivinar el usuario y contraseña y tomar el control del dispositivo.

En cuanto el malware consigue acceso, descarga el el equipo afectado una serie de ficheros ejecutables e intenta ejecutarlos, pero en vez de analizar el equipo para saber su arquitectura para ejecutar el archivo adecuado, simplemente ejecuta todos hasta que uno lo hace con exito. Además de muchas arquitecturas arcaicas, este malware también es compatible con ARM y MIPS.


Si consigue instalarse en el router o dispositvo loT, este permanece ejecutado como un demonio, siempre en primer plano, conectado a su servidor C&C a través de una interfaz IRC y a la espera de órdenes. Todas las conexiones se realizan cifradas, por lo que es bastante complicado poder detectarlas.

Remaiten pude recibir ordenes o comandos desde el servidor de control (heredadas de Tsunami y Gafgyt) y su labor es buscar nueva victimas y realizar todo tipo de ataques de red como ataques de desbordamiento en el router, la descargar archivos modificados, realizar barridos de IPs mediante telnet, etc. Tambien tiene una funcion para eliminar cualquier proceso que no sea imprescindible para el router.

De momento no hay manera de defenderse de este malware ya que la infeccion puede llegar al azar. Lo unico que podemos hacer para disminuir las posibilidades de infeccion por parte de este malware, es cambiar la contraseña del telnet para que si somos infectado no pueda conectarse a nuestro router.

No hay comentarios:

Publicar un comentario