Inicio / Blog / Más allá del Muro

Más allá del Muro

Publicado el 07/06/2016, por Miguel Herrero (INCIBE)
Jon Nieve

Más allá del muro habitan los salvajes. Todos en Poniente lo saben. Por eso confían en la Guardia de la Noche, protectores de los 7 reinos. En el mundo de la ciberseguridad también hay personas que viven más allá del muro y sabemos que no todos tienen malas intenciones, puede que no cumplan las leyes establecidas, pero sus intenciones no parece ser destruir todo lo establecido.

Un ejemplo de estos comportamientos no destructivos es el malware Linux.Wifatch. Un malware creado por Team White que, si bien infecta equipos, en principio es de lo menos malo que te puede pasar. Linux.Wiftach tiene un objetivo claro, routers Linux y los sistemas de la IoT que utilicen dicho sistema operativo embebido como por ejemplo relojes, televisores, etc. y que no estén debidamente protegidos a fin de que no puedan ser infectados por otros malware mucho menos amables.

La primera vez que oímos hablar de Wifatch fue en 2014, cuando un investigador de seguridad descubrió en su router de casa unos procesos que no debían estar ahí. A partir de ahí inició una investigación del equipo que confirmó que estaba comprometido y consiguió hacer ingeniería inversa del malware con el que había sido infectado. Posteriormente Symantec publicó un post en el que se presentó este malware.

¿Pero qué es lo que hacía realmente Wifatch? Básicamente la respuesta es que Wifatch te infectaba para que nadie más lo hiciera. Escaneaba la red buscando equipos vulnerables en el puerto Telnet (TCP/23), bien porque tuvieran usuarios sin proteger con contraseña o bien porque utilizasen los usuarios y contraseñas por defecto. Una vez te infectaba, lo que hacía era cerrar el demonio de telnet, a fin de que nadie más pudiera entrar en el dispositivo y cuando recibía una conexión al puerto 23 mostraba un banner con un mensaje donde te informaba por Reincarna que había sido infectado y que por favor actualizases contraseñas, usuarios y firmware.

Banner de Reincarna

Además Wifatch incorporaba al equipo a una red P2P de bots, con el nombre de Reincarna, que se encargaba de buscar al siguiente objetivo. Wifatch incluía puertas traseras para controlar el bot una vez el puerto telnet está cerrado que podrían ser aprovechadas para tomar control del dispositivo, por lo que como medida preventiva, todos los comandos recibidos a través de la red P2P se mandaban firmados digitalmente para evitar que otros cibercriminales pudieran tomar control de la botnet y utilizarla para otros fines menos "humanitarios".

Una cosa que hacía Wifatch diferente de otras muestras de malware que se pueden encontrar "in the wild" es que carecía de mecanismos de persistencia. El malware necesita sobrevivir a un reinicio si quiere tener utilidad para el delincuente. En este caso si la máquina infectada es reiniciada, lo único que quedaba de Wifatch son los descargables, pero no volvería a ejecutarse o alterar la configuración de la máquina. Seguramente si no se toman las medidas oportunas el equipo volvería a ser infectado por Wifatch, pero estaríamos hablando de una segunda infección y no de un mecanismo de persistencia.

Actualmente este proyecto ha ido quedándose sin actividad y ya no hay prácticamente cambios en el código, accesible en su mayor parte a través del gitlab de White Team, tal y como se puede ver a través del número de commits, que ha ido bajando paulatinamente. Parte del código no ha sido liberado para evitar la reutilización por parte de delincuentes.

The White Team

Estas botnets cuyos fines se suponen no malévolos reciben el nombre de White Botnets, a semejanza de los White hat hackers, o hackers de sombrero blanco, aunque técnicamente el nombre es prosumware en.wikipedia.org/wiki/Prosumware (Enlace no disponible actualmente) (del latín prosum que significa ser útil o beneficioso). Reincarna no es la primera de este tipo, sino que, como admitieron los autores, cogieron la idea de Carna (de ahí el nombre) un proyecto anterior.

Carna, cuyo nombre viene de la diosa romana Cardea, diosa de la salud, fue el primer ejemplo de prosumware documentado y consistió en una botnet activa entre marzo y diciembre de 2012, que "secuestraba" los routers que carecían de contraseña telnet o era muy sencilla para llevar a cabo un proyecto consistente en mapear Internet. El proyecto original pretendía escanear todo el rango de direcciones de IPv4, a través del puerto 23 y, para acelerar el proceso, algunos equipos que se encontraban desprotegidos se convertían en un nuevo escáner. En menos de un día, habían conseguido infectar unos 100000 equipos, con los cuales consiguieron escanear todo internet en únicamente 16 horas y publicaron un estudio que todavía se puede encontrar en Archivo de Internet. El código fuente de los bots de Carna no fue publicado por miedo al abuso, pero en diciembre 2012 llegó a tener 420000 clientes distribuidos como se ve en la siguiente imagen.

http://internetcensus2012.bitbucket.org/images/clientmap_16to9_small.jpg

Reincarna llegó a tener un tamaño similar en sus buenos tiempos, los autores calcularon que estaba compuesta por entre 200000 y 4000000 bots. ·En la actualidad su tamaño es casi residual, una búsqueda en Shodan muestra unos 300 dispositivos de los que únicamente cuatro corresponden a direcciones IP geolocalizadas en España. Si queréis leer más acerca de estas dos muestras de prosumware, podéis hacerlo en:

  • www.codyhofstetter.com/2015/10/prosumware-malware-for-the-insecure/ (Enlace no disponible actualmente)
  • www.codyhofstetter.com/2015/10/prosumware-malware-insecure-part-2/ (Enlace no disponible actualmente)
Etiquetas: 
Botnet
IoT
Linux
Malware