Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/02/2018
Dispositivos IoT convertidos en servidores proxy
Fortinet ha descubierto una variante del malware Mirai que es capaz de convertir dispositivos IoT vulnerables en servidores proxy.
Desde el lanzamiento del código fuente de la botnet Mirai, FortiGuard Labs ha visto una serie de variaciones y adaptaciones. En este caso se ha modificado el bot de Mirai para convertir un dispositivo IoT en un servidor proxy.
Esta nueva variante ha sido bautizada con el nombre de OMG debido a la presencia de las cadenas '/bin/busybox OOMGA' y 'OOMGA: applet not found' en su interior.
Esta variante agrega y elimina algunas configuraciones que se pueden encontrar en el código Mirai original. Para que el proxy funcione correctamente se añaden dos nuevas cadenas que se utilizan para agregar una regla de firewall que permita el tráfico en dos puertos aleatorios.
Una vez infectado el dispositivo, OMG comunica la infección al servidor C&C, que le responde con un valor que especifica su finalidad, en este caso será un proxy. Para ello selecciona dos puertos al azar, que son comunicados al servidor C&C, y configura una regla de firewall para permitir el trafico a través de ellos. Una vez lista la configuración, ejecuta un servidor proxy usando el software de código abierto 3proxy.
Parece ser que la posible finalidad sea la protección de la identidad de los atacantes ante actividades ilícitas en Internet, permitiendo que sea un negocio para los operadores OMG si venden accesos a dispositivos IoT reconvertidos en proxy.
Para más información aquí.