Il malware IoT sfrutta le vulnerabilità zero-day dei router domestici



[ZEUS News - www.zeusnews.it - 29-01-2018]

router

A inizio dicembre 2017, 360 Netlab ha identificato una nuova famiglia di malware che è stata chiamata Satori. Derivativo di Mirai, il malware sfrutta due vulnerabilità: CVE-2014-8361, vulnerabilità di esecuzione del codice nel servizio miniigd SOAP di Realtek SDK, e CVE 2017-17215, vulnerabilità appena scoperta nell'home gateway HG532e di Huawei, la cui patch è stata resa disponibile a dicembre 2017.

La Unit 42 di Palo Alto Networks ha analizzato Satori, scoprendo che ne esistono tre varianti: la prima comparsa ad aprile 2017, otto mesi prima dei più recenti attacchi. La versione di Satori che sfrutta CVE 2017-17215 era già attiva a novembre 2017, prima della disponibilità della patch, il che ne conferma la natura come attacco zero-day.

L'analisi condotta sull'evoluzione di Satori conferma la nostra teoria che altri malware IoT si trasformeranno al fine di sfruttare vulnerabilità note o anche quelle zero-day.

Le prima famiglia di malware IoT, come Gafgyt e la famiglia originale Mirai, si avvaleva di password deboli o di default per attaccare i dispositivi. In risposta, utenti e produttori hanno iniziato a cambiarle e a renderle più sicure per contrastare le minacce.

Sondaggio
Quali sono i rischi maggiori del cloud computing?
Distributed Denial of Service (DDoS): cresce l'impatto dei tempi di indisponibilità di un sito web, che possono costare perdite di milioni di euro in termini di introiti, produttività e immagine aziendale.
Frode: perpetrata da malintenzionati con l'obiettivo di trafugare i dati di un sito e creare storefront illegittimi, o da truffatori che intendono impadronirsi di numeri di carte di credito, la frode tende a colpire - prima o poi - tutte le aziende.
Violazione dei dati: le aziende tendono a consolidare i dati nelle applicazioni web (dati delle carte di credito ma anche di intellectual property, ad esempio); gli attacchi informatici bersagliano i siti e le infrastrutture che le supportano.
Malware del desktop: un malintenzionato riesce ad accedere a un desktop aziendale, approfittandone per attaccare i fornitori o le risorse interne o per visualizzare dati protetti. Come il trojan Zeus, che prende il controllo del browser dell'utente.
Tecnologie dirompenti: pur non essendo minacce nel senso stretto del termine, tecnologie come le applicazioni mobile e il trend del BYOD (bring-your-own-device) stanno cambiando le regole a cui le aziende si sono attenute sino a oggi.

Mostra i risultati (1128 voti)
Leggi i commenti (6)

A questo punto, alcuni autori di malware IoT, come i responsabili di Amnesia e IoT_Reaper, hanno modificato il loro approccio per sfruttare le vulnerabilità note di alcuni device IoT e i vendor hanno risposto con patch ancora nuove. Il passaggio a un classico attacco zero-day verso nuove vulnerabilità rappresenta un passo logico da parte degli attaccanti.

Ecco quindi come Satori si è evoluto per diventare un malware IoT che sfrutta le vulnerabilità zero-day.

L'evoluzione di Satori

Dall'aprile 2017 analizzando i log di diversi attacchi lanciati con malware Satori, sono state identiificate tre diverse varianti.

La prima scansisce Internet e verifica quali indirizzi IP address sono vulnerabili nel telnet login tentando diverse password. Una volta effettuato il login, abilita la shell di access ed esegue solo i comandi "/bin/busybox satori" o "/bin/busybox SATORI".

La seconda variante aggiunge un packer, probabilmente per sfuggire all'identificazione statica. Nel frattempo, il malvivente aggiunge la password "aquario" nel dizionario delle password e usa sempre "aquario" per effettuare il login al primo tentativo. "aquario" è la password di default di un diffuso wireless router in America Latina e indica che l'hacker ha intenzionalmente iniziato a raccogliere bot in quella regione.

La terza variante si avvale di exploit per due vulnerabilità di esecuzione del codice remoto, compresa una zero-day (CVE-2017-17215).

Derivativo di Mirai

Poiché il codice sorgente di Mirai è aperto in Github, gli attaccanti potevano facilmente riutilizzare il codice Mirai per implementare il network scanner e i moduli di login password delle password per lanciare un attacco telnet o di altro genere.

La famiglia di malware Satori conferma che il malware IoT sta continuamente evolvendo dal semplice attacco password brute force a uno che sfrutta le vulnerabilità. Il codice aperto di Mirai offre agli attaccanti un buon punto di partenza per sviluppare nuove varianti.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (0)


La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Secondo te in quale settore si faranno sentire maggiormente gli effetti positivi dell'Agenda Digitale?
La comunicazione
La scuola
L'accesso alle informazioni e ai contenuti culturali
La modalità di interazione con la Pubblica Amministrazione
Il Servizio Sanitario
La qualità dell'ambiente e dell'aria
La qualità della vita
Il costo della vita
La vivibilità delle grandi metropoli con la creazione di Smart City
La trasparenza
Risparmi per lo Stato e per il cittadino
Riduzione del digital divide
L'Agenda... de che?

Mostra i risultati (1003 voti)
Gennaio 2019
Pubblicata la ''master list'' degli hacker
Un intero computer (completo di schermo e tastiera) all'interno di un mouse
Non è reato filmare una donna nuda in casa sua se non usa le tende
Sei consigli per difendersi dal ransomware
Windows 7 riconosciuto come contraffatto dopo le ultime patch
IoT sotto attacco: ora tocca alle vasche idromassaggio
Apple taglia la produzione di iPhone: l'obsolescenza programmata non funziona più
Il primo computer quantistico progettato per applicazioni commerciali
Il bat-sonar Microsoft usa gli altoparlanti intelligenti per mappare intere stanze
Otter Browser, il vero successore di Opera Classic
Mozilla sperimenta gli spot in Firefox. Gli utenti insorgono
Richard Stallman fa i complimenti a Microsoft
Dicembre 2018
Microsoft cambia Pulizia Disco per salvare gli utenti sbadati da sé stessi
Il bug di Chrome che manda in freeze Windows 10
Arrestati i cinque pirati più incapaci del web
Tutti gli Arretrati


web metrics