Jue, 01/03/2018 - 14:38

La función Proxy está a la par con la función DDoS

Fortinet afirma que esta es la primera variante de Mirai que además de la función DDoS también incluye una función proxy. Pero según fuentes de la comunidad infosec que hablaron de que esto puede no ser 100% cierto.

Según las fuentes los autores de malware a menudo han modificado las botnets de Mirai para que funcionen como servidores proxy desde su lanzamiento.

La mayoría de esas versiones nunca vieron una distribución masiva, ni se enfocaron principalmente en la función proxy, dejándola a un lado para la función DDoS.

La variante de Mirai que Fortinet descubrió y detalló en una investigación publicada la semana pasada es la primera variante de Mirai que se distribuye con coherencia y coloca la función de proxy en el mismo nivel de importancia que la opción de DDoS.

Nueva variante de Mirai llamada Mirai OMG

Fortinet ha denominado a esta variante Mirai OMG basada en la cadena OOMGA que se encuentra en algunas partes del código fuente del malware donde solía aparecer el término "Mirai" y esta variante ahora se une a una creciente familia Mirai que también incluye variantes como Satori (Okiru), Masuta y Akuma.

Pero aunque Fortinet no ha analizado el tráfico que fluye a través de la red OMG de Mirai, en teoría, no debería ser diferente del tipo regular de tráfico que las redes proxy malintencionadas han estado transmitiendo durante años. Esto incluye:

- Tráfico de retransmisión destinado a los servidores C & C de malware para ocultar su verdadera ubicación

- Actuando como puntos de lanzamiento para ataques de diccionario y de fuerza bruta para eludir las soluciones de seguridad que limitan el número de intentos fallidos por IP

- Lanzar ataques de inyección SQL, CSRF, LFI y XSS para eludir las reglas de geofencing y explotar otras aplicaciones web

Dado que Mirai OMG todavía confía en la clásica técnica de difusión de Mirai de los dispositivos de fuerza bruta que usan contraseñas débiles, cambiar la contraseña predeterminada de cualquier equipo IoT debería salvaguardar a la mayoría de los usuarios de que su dispositivo sea tomado por delincuencia.

Fuente
https://tecnonucleous.com/2018/02/27/la-nueva-variante-de-la-botnet-mirai-se-centra-en-convertir-dispositivos-iot-en-servidores-proxy/