Este documento describe el malware Linux/Remaiten, un bot que combina las capacidades de Tsunamis y Gafgyt y ofrece mejoras y nuevas características. El malware utiliza escaneos de telnet para infectar dispositivos vulnerables y descargar ejecutables de bots para varias arquitecturas de CPU. Luego intenta determinar la arquitectura del dispositivo víctima y transferir sólo el descargador apropiado para crear otro bot.
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
Linux/Remaiten Malware: Análisis de un nuevo botnet
1. WEBIMPRINTS
Empresa de pruebas de penetración
Empresa de seguridad informática
http://www.webimprints.com/seguridad-informatica.html
Linux/Remaiten Malware
2. Linux/Remaiten Malware
Según Webimprints una empresa de pruebas de
penetración, Un bot que combina las capacidades de
Tsunamis (también conocido como Kaiten) y Gafgyt.
También ofrece algunas mejoras, así como un par de
nuevas características. Sobre la base de los artefactos
encontrados en el código, los autores llaman a este
nuevo malware " KTN-Remastered" o "KTN-RM".Una
característica destacada de Linux/Gafgyt es el
escaneo de telnet. Cuando reciba instrucciones para
realizar la exploración de telnet, intenta conectarse a
direcciones IP aleatorias accesible desde Internet en
el puerto 23.
3. Según expertos de pruebas de penetración, si la
conexión se realiza correctamente, se tratará de
adivinar las credenciales de acceso de una lista de
combinaciones de nombre de usuario / contraseña.
Si se conecta con éxito, emite un comando de shell
para descargar bot ejecutables para varias
arquitecturas e intenta ejecutarlos. Este es una
sencilla aunque ruidosa forma de infectar nuevas
víctimas, ya que es probable que uno de los binarios
se ejecutará en la arquitectura corriendo.
Como funciona Linux/Remaiten Malware
4. Linux/Remaiten mejora sobre este mecanismo de
difusión por llevar ejecutables para arquitecturas
de CPU que se utilizan comúnmente en dispositivos
embebidos Linux como ARM y MIPS. Después de
iniciar sesión a través del indicador de telnet del
dispositivo, intenta determinar la nueva plataforma
de dispositivo de víctima y transferir sólo el
descargador apropiado. El trabajo de este
descargador es solicitar la arquitectura apropiada
para Linux/Remaiten bot binario desde el servidor
de C&C comenta Mike Stevens profesional de
empresa de seguridad informática.
Como funciona Linux/Remaiten Malware
5. Comenta Mike Stevens de empresa de seguridad
informática que Este archivo binario se ejecuta
entonces en el nuevo dispositivo, creando otro bot
para los hackers.Los descargadores de
Linux/Remaiten son pequeños ejecutables ELF
incrustados en el propio binario bot. Cuando se
ejecuta en el dispositivo de la víctima, que se
conectan al servidor de C & C del robot y enviar
uno de estos comandos:
Mips
Mipsel
Armeabi
Armebeabi
Linux/Remaiten Malware
6. Antes de reanudar el escaneo de telnet, el bot
informa al servidor C & C de su progreso. Se envía
la dirección IP del nuevo dispositivo de víctima, el
éxito de usuario y contraseña par, y si se infecta el
otro dispositivo o no. El C & C responderán con un
binario ELF bot para la arquitectura requerida.
Tenga en cuenta que el puerto TCP utilizado para
conectar con el servidor C & C es diferente del
servidor IRC del bot. Hay una lista de C & C de
direcciones IP del servidor codificado en los
binarios de bots. Uno es escogido al azar y el robot
se conecta a él en un puerto codificado. El puerto
cambia de una variante a otra menciono Mike
Stevens de empresa de seguridad informática.
Linux/Remaiten Malware