I laboratori TrendLabs
hanno recentemente scoperto una nuova botnet IoT derivata da Mirai, chiamata Persirai. I target sono nuovamente le webcam IoT , dislocate perlopiù negli USA e in Cina .
Il nome deriva dal fatto che i command & control individuati sembrano essere riferiti tutti al dominio di primo livello “.ir” , in uso presso un centro di ricerca iraniano e riservato alla sola cittadinanza locale. Inoltre, in fase di analisi, sono stati rilevati caratteri persiani nell’eseguibile.
Giusto un paio di settimane fa abbiamo analizzato la cugina BrickerBot , il cui obiettivo era quello di distruggere i dispositivi IoT vulnerabili, vantando presunti fini etici.
Questa volta, invece, l’obiettivo del software malevolo sembra essere lo stesso del genitore Mirai : eseguire attacchi denial-of-service distribuiti .
I dispositivi vulnerabili a ELF_PERSIRAI.A sono oltre 120mila, appartenenti a oltre 1.000 modelli diversi di svariati produttori.
Il difetto sfruttato per l’infezione è ancora una volta banale: le webcam espongono un’interfaccia Web di gestione sulla porta 81 , che tramite il protocollo UPnP viene pubblicata su Internet.
La scarsa attenzione dei proprietari nella gestione delle password predefinite fa il resto: oltre ad offrire il proprio stream video al mondo, permettono l’esecuzione di script arbitrari tramite vulnerabilità remote code execution .
Inoltre una vulnerabilità 0-day relativa all’upload di foto e aggiornamenti del firmware via FTP, può essere sfruttata per caricare file arbitrari tramite un account backdoor.
La IP camera esegue quindi il download di uno script da un server command & control installando Persirai, che verrà eseguito esclusivamente in memoria cancellandosi automaticamente. Le azioni immediatamente eseguite dal malware consistono innanzitutto nel blocco temporaneo di ulteriori attacchi tramite la 0-day, linkando ftpupdate.sh e ftpupload.sh a /dev/null , poi nell’avvio della fase di propagazione, scansionando la rete alla ricerca di ulteriori dispositivi che presentano alcune vulnerabilità recentemente scoperte .
Il bot si collegherà quindi al command & control dal quale potrà ricevere istruzioni per condurre attacchi DDoS basati su flood di pacchetti SSDP (Simple Service Discovery Protocol), che opera in multicast sulla porta 1900 UDP. Trattandosi di un protocollo senza connessione, è possibile per il malware effettuare lo spoofing dell’indirizzo IP sorgente , mascherando la provenienza dell’attacco e rendendone difficile la mitigazione.
Per facilitare le operazioni di rilevamento, TrendMicro ha pubblicato gli hash del payload installato e la Yara Rule per la classificazione.
rule Persirai {
meta:
description = "Detects Persirai Botnet Malware"
author = "Tim Yeh"
reference = "Internal Research"
date = "2017-04-21"
hash1 = "f736948bb4575c10a3175f0078a2b5d36cce1aa4cd635307d03c826e305a7489"
hash2 = "e0b5c9f874f260c840766eb23c1f69828545d7820f959c8601c41c024044f02c"
hash3 = "35317971e346e5b2a8401b2e66b9e62e371ce9532f816cb313216c3647973c32"
hash4 = "ff5db7bdb4de17a77bd4a552f50f0e5488281cedc934fc3707833f90484ef66c"
hash5 = "ec2c39f1dfb75e7b33daceaeda4dbadb8efd9015a9b7e41d595bb28d2cd0180f"
strings:
$x1 = "ftpupload.sh" fullword ascii
$x2 = "/dev/misc/watchdog" fullword ascii
$x3 = "/dev/watchdog" ascii
$x4 = ":52869/picsdesc.xml" fullword ascii
$x5 = "npxXoudifFeEgGaACScs" fullword ascii
$s1 = "ftptest.cgi" fullword ascii
$s2 = "set_ftp.cgi" fullword ascii
$s3 = "2580e538f3723927f1ea2fdb8d57b99e9cc37ced1" fullword ascii
$s4 = "023ea8c671c0abf77241886465200cf81b1a2bf5e" fullword ascii
condition:
uint16(0) == 0x457f and filesize < 300KB and
(
( 1 of ($x*) and 1 of ($s*) ) or
2 of ($s*)
)
}
Patrizio Tufarolo
Ti potrebbe interessare
18 mag 2017