Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/02/2018
Dispositius IoT convertits en servidors proxy
Fortinet ha descobert una nova variant del programari maliciós Mirai, que és capaç de convertir dispositius IoT infectats com a servidors proxy.
Des del llançament del codi font de la botnet Mirai, FortiGuard Labs ha vist una sèrie de variacions i adaptacions. En aquest cas s’ha modificat el bot de conversa de Mirai per a convertir un dispositiu IoT en un servidor proxy.
Aquesta nova variant ha sigut batejada amb el nom d’OMG a causa de la presència de les cadenes '/bet/busybox OOMGA' i 'OOMGA: applet not found' en el seu interior.
Aquesta variant agrega i elimina algunes configuracions que es poden trobar en el codi Mirai original. Perquè el proxy funcione correctament s’afegeixen dues noves cadenes que s’utilitzen per a agregar una regla de tallafoc que permeta el tràfic en dos ports aleatoris.
Una vegada infectat el dispositiu, OMG comunica la infecció al servidor C&C, que li respon amb un valor que especifica la seua finalitat, en aquest cas serà un proxy. Per a això selecciona dos ports a l’atzar, que són comunicats al servidor C&C, i configura una regla de tallafoc per a permetre el tràfic a través d’ells. Una vegada llesta la configuració, executa un servidor proxy usant el programari de codi obert 3proxy.
Pareix que la possible finalitat siga la protecció de la identitat de l’atacant davant activitats il·lícites en Internet, permetent que siga un negoci per als operadors OMG, si venen accessos a dispositius IoT reconvertits en proxy.
Per a més informació ací.