Hajime, un worm IoT molto più sofisticato di Mirai

I ricercatori Sam Edwards e Ioannis Profetis, di Rapidity Networks, hanno scoperto (http://news.softpedia.com/news/hajime-iot-worm-considerably-more-sophisticated-than-mirai-509423.shtml) Hajime, una nuova variante di worm Internet, preposta ad attaccare i dispositivi Iot. Inizialmente, a dir la verità, i due esperti di sicurezza IT intendevano condurre un’indagine su Mirai (https://threatpost.com/source-code-released-for-mirai-ddos-malware/121039/), un malware simile, il cui codice sorgente era stato reso pubblicamente accessibile, in forma gratuita, dallo stesso sviluppatore. Attendendosi un vero e proprio picco del livello di attività del bot in questione, dopo la pubblicazione del relativo codice, i ricercatori hanno deciso di allestire dei server-esca un po’ in tutto il mondo.

Alcuni giorni dopo, Edwards e Profetis hanno individuato una particolare attività, attribuendola inizialmente a Mirai; dopo aver effettuato le necessarie verifiche, essi hanno potuto appurare che si trattava, in realtà, di un nuovo malware, decisamente più complesso e sofisticato, il quale, tuttavia, evidenziava alcune peculiarità del comportamento che caratterizza Mirai. Tale software nocivo utilizzava un meccanismo di infezione ripartito in tre diverse fasi, ed era in grado di auto-propagarsi.

Una volta penetrato all’interno del sistema sottoposto ad attacco, Hajime inizia ad effettuare la scansione di indirizzi IP casuali, situati nella zona IPv4. In seguito, il worm attacca la porta 23, e cerca di introdursi nel sistema che si trova all’altra estremità della connessione, avvalendosi di un set di credenziali hardcoded nel proprio codice sorgente. Se la porta 23 risulta chiusa, il malware interrompe il tentativo di attacco brute-force non riuscito, e passa al successivo indirizzo IP.

Nel caso in cui l’attacco brute-force abbia buon esito, Hajime invia al sistema preso di mira quattro diversi comandi, per verificare l’effettiva presenza, in quest’ultimo, dell’OS Linux. Risultano esposte agli attacchi lanciati da Hajime le piattaforme ARMv5, ARMv7, Intel x86-64, MIPS e little-endian.

Nella fase successiva, il worm effettua il download di un file binario ELF di 484 byte, il quale viene poi eseguito allo scopo di stabilire la connessione con il server preposto alla gestione dell’attacco, e registrare, in seguito, i dati ricevuti, in un nuovo binario, di cui viene lanciata l’esecuzione non appena è stata completata la trasmissione dei dati. Ricorrendo all’utilizzo del protocollo DHT, il binario si collega ad una botnet P2P, dalla quale esso ottiene, attraverso Torrent, il payload nocivo, sotto forma di altri file binari ed altri moduli.

Hajime, quindi, è un malware molto più sofisticato di Mirai; esso utilizza, tra l’altro, alcuni “trucchi” che caratterizzano altri malware IoT. Anche Rex, (http://news.softpedia.com/news/rex-linux-trojan-can-launch-ddos-attacks-lock-websites-mine-for-cryptocurrency-507486.shtml) ad esempio, stabilisce una connessione DHT con una botnet P2P. Le combinazioni “login — password” già pronte all’uso, per realizzare attacchi brute-force nei confronti di indirizzi IP casuali, è poi una delle caratteristiche peculiari di Mirai. Il meccanismo di infezione, articolato in vari step, è invece simile a quello di cui fa uso NyaDrop (http://news.softpedia.com/news/a-new-linux-trojan-called-nyadrop-threatens-the-iot-landscape-509278.shtml).

I tratti distintivi di Hajime sono rappresentati dal fatto che tale malware è scritto in linguaggio C, e non in Go, come Rex; esso, inoltre, si avvale di comunicazioni P2P, anziché di una connessione diretta con il server C&C (Mirai); il worm colpisce, infine, una più ampia gamma di piattaforme, e non solo la piattaforma MIPS (NyaDrop). Sintetizzando, possiamo tranquillamente affermare che Hajime riunisce in sé i metodi malevoli in assoluto più efficaci, presi in prestito da altre tipologie di malware IoT.

Hajime prende di mira le telecamere IP, i DVR ed i sistemi di videosorveglianza, ed in particolar modo i sistemi realizzati da Dahua, ZTE ed altri produttori, ai quali il contractor XiongMai Technologies (https://threatpost.ru/when-dvrs-attack-a-post-iot-attack-analysis/18593/) ha fornito sistemi DVR benchmark. Per prevenire gli attacchi portati da Hajime, occorre bloccare tutti i pacchetti UDP contenenti il messaggio relativo allo scambio di chiavi con il worm, la porta TCP 4636 e tutto il traffico Telnet che esegue il comando shell “/bin/busybox ECCHI”. I ricercatori non dispongono, al momento attuale, di precise informazioni riguardo a chi possa, di fatto, tenere le fila dello sviluppo di un simile malware. Avendo attentamente monitorato i periodi di attività del worm, gli esperti di Rapidity Networks ritengono che il fuso orario rilevato possa coincidere con l’Europa.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *