‘HNS’ es la nueva botnet IoT que ya controla 20.000 dispositivos


Esta nueva botnet IoT denominada HNS está extendiendose desde Asia a Estados Unidos.

Esta botnet utiliza el mismo exploit (CVE-2016-10401) que usó la botnet Reaper. Y, a diferencia del resto de botnets IoT recientes, HNS no es una modificación de Mirai.

Los investigadores de seguridad aseguran que la botnet apareció el 10 de Enero, desapareció unos dí­as y volvió con muchí­sima más fuerza el 20 de Enero.

HNS-Botnet.png

De acuerdo con los análisis que se han realizado, cada bot contiene una lista de IPs de otros bots infectados. Esta lista puede actualizarse en tiempo real a medida que se pierdan/ganen más bots.

Además, se ha comprobado que los bots se mandan instrucciones y comandos unos a otros, similar a la base del protocolo P2P. Los comandos que pueden recibir y ejecutar son diversos, entre ellos la ejecución de código o la exfiltración de datos.

Sorprendentemente los expertos de Bitdefender no han encontrado función DDoS en los dispositivos, lo que da a pensar que seguramente esté destinada a ser desplegada como una red proxy.

El bot se comporta como un gusano el cuál genera listas de IPs aleatorias para conseguir ví­ctimas potenciales. Entonces inicia una conexión SYN con cada host de la lista a la espera de recibir respuesta por parte de estos desde uno de los puertos especí­ficos (23, 2323, 80, 8080).

Una vez que la conexión ha sido establecida, el bot busca un banner especí­fico («buildroot login:») al cuál intenta conectar con los credenciales por defecto. En caso de fallar, la botnet intenta un ataque de diccionario usando una lista hardcodeada hasta conseguir acceso al nuevo dispositivo infectado.

La buena noticia es que el bot no es persistente por lo que un reinicio del dispositivo infectado deberí­a de ser suficiente para limpiarlo.

Fuente: hispasec.com

Compartir: