Recientemente fue descubierta una nueva amenaza que combina 3 malware diferentes ya conocidos anteriormente, en uno, la misma ha sido bautizada como Mozi, y atacan a dispositivos IoT. Los dispositivos infectados forman un botnet que puede ser utilizada para realizar ataques DDoS, recopilar datos y robar información. Estos 3 malwares son conocidos como: Gafgyt, Mirai y IoT Reaper, familias de malware dirigidas a dispositivos IoT.
Mozi, afecta generalmente a los routers domésticos o aquellos dispositivos que no se encuentran actualizados y/o cuentan con contraseñas débiles o por defecto. Esta Botnet es implementada utilizando el protocolo DHT (Distributed Hash Table) basado en el estándar común utilizado por los clientes Torrent y otras plataformas Peer-to-Peer. Esto Permite aumentar la velocidad de establecimiento de conexión con la red de bots sin la necesidad de un servidor central, lo que a su vez dificulta la detección de los payloads dentro del tráfico DHT normal. Por otro lado, utiliza ECDSA384 y el algoritmo XOR para asegurar la integridad y seguridad de sus componentes, encriptando y desencriptando los config files.
Una vez que, Mozi establece la conexión a través de DTH el archivo config se sincroniza y todas las tareas se ejecutan de acuerdo a las instrucciones del config file, donde también existen distintos campos de control.
¿Cómo se propaga?
El malware utiliza telnet y exploits conocidos para propagarse a los dispositivos vulnerables, o inicia sesión en routers o CCTV-DVR que cuenten con una contraseña débil o por defecto. Una vez que este se encuentre dentro del dispositivo vulnerado, el bot automáticamente forma parte de la red P2P como un nuevo nodo. En la siguiente etapa los nuevos nodos de la red reciben y ejecutan comandos del botnet master, además mantienen su búsqueda de otros dispositivos IoT vulnerables para añadirlos a la red.
La ejecución de instrucciones de cada nodo en Mozi Botnet es controlada por un payload llamado config, y este está controlado por el Botnet Master. Las principales instrucciones incluyen: Ataques DDoS, recolectar información de bots, ejecutar payloads desde una URL y ejecutar comandos del sistema.
Algunas de las vulnerabilidades (con exploits conocidos) aprovechadas por Mozi Botnet:
- Eir D1000 Router.
- Vacron NVR devices.
- Devices using the Realtek SDK.
- Netgear R7000 and R6400.
- DGN1000 Netgear routers.
- MVPower DVR.
- Huawei Router HG532.
- D-Link Devices.
- GPON Routers.
- D-Link Devices.
- CCTV DVR.
Recomendaciones:
- Cambie las contraseñas por defecto de sus dispositivos, y utilice siempre contraseñas robustas.
- Deshabilite o proteja a través de un firewall el acceso remoto a los dispositivos IoT.
- Actualice con regularidad el firmware de sus dispositivos IoT.
- Aplique reglas NAT o Port Forwarding en el router para una conexión segura. Se recomienda además desactivar el método de autenticación WPS o servicios innecesarios como UPnP, ya que han sufrido brechas de seguridad en los últimos tiempos.
Para más información sobre Seguridad en dispositivos IoT, puede consultar las siguientes páginas:
- https://revistabyte.es/seguridad-informatica/iot/
- https://www.redeszone.net/tutoriales/seguridad/mejorar-seguridad-dispositivos-internet-cosas/
- https://www.incibe.es/protege-tu-empresa/blog/iot-riesgos-del-internet-los-trastos
Referencias:
- https://blog.centurylink.com/new-mozi-malware-family-quietly-amasses-iot-bots/
- https://blog.netlab.360.com/mozi-another-botnet-using-dht/
- https://www.bleepingcomputer.com/news/security/new-mozi-p2p-botnet-takes-over-netgear-d-link-huawei-routers/
- https://www.redeszone.net/noticias/seguridad/mozi-nueva-botnet-tres-malware/
- https://blog.ehcgroup.io/2020/04/20/09/49/12/8527/mozi-la-nueva-amenaza-que-combina-3-malware-en-1/seguridad-informatica/malware/ehacking/