Il malware IoT sfrutta le vulnerabilità zero-day dei router domestici



[ZEUS News - www.zeusnews.it - 29-01-2018]

router

A inizio dicembre 2017, 360 Netlab ha identificato una nuova famiglia di malware che è stata chiamata Satori. Derivativo di Mirai, il malware sfrutta due vulnerabilità: CVE-2014-8361, vulnerabilità di esecuzione del codice nel servizio miniigd SOAP di Realtek SDK, e CVE 2017-17215, vulnerabilità appena scoperta nell'home gateway HG532e di Huawei, la cui patch è stata resa disponibile a dicembre 2017.

La Unit 42 di Palo Alto Networks ha analizzato Satori, scoprendo che ne esistono tre varianti: la prima comparsa ad aprile 2017, otto mesi prima dei più recenti attacchi. La versione di Satori che sfrutta CVE 2017-17215 era già attiva a novembre 2017, prima della disponibilità della patch, il che ne conferma la natura come attacco zero-day.

L'analisi condotta sull'evoluzione di Satori conferma la nostra teoria che altri malware IoT si trasformeranno al fine di sfruttare vulnerabilità note o anche quelle zero-day.

Le prima famiglia di malware IoT, come Gafgyt e la famiglia originale Mirai, si avvaleva di password deboli o di default per attaccare i dispositivi. In risposta, utenti e produttori hanno iniziato a cambiarle e a renderle più sicure per contrastare le minacce.

Sondaggio
Quali sono i rischi maggiori del cloud computing?
Distributed Denial of Service (DDoS): cresce l'impatto dei tempi di indisponibilitā di un sito web, che possono costare perdite di milioni di euro in termini di introiti, produttivitā e immagine aziendale.
Frode: perpetrata da malintenzionati con l'obiettivo di trafugare i dati di un sito e creare storefront illegittimi, o da truffatori che intendono impadronirsi di numeri di carte di credito, la frode tende a colpire - prima o poi - tutte le aziende.
Violazione dei dati: le aziende tendono a consolidare i dati nelle applicazioni web (dati delle carte di credito ma anche di intellectual property, ad esempio); gli attacchi informatici bersagliano i siti e le infrastrutture che le supportano.
Malware del desktop: un malintenzionato riesce ad accedere a un desktop aziendale, approfittandone per attaccare i fornitori o le risorse interne o per visualizzare dati protetti. Come il trojan Zeus, che prende il controllo del browser dell'utente.
Tecnologie dirompenti: pur non essendo minacce nel senso stretto del termine, tecnologie come le applicazioni mobile e il trend del BYOD (bring-your-own-device) stanno cambiando le regole a cui le aziende si sono attenute sino a oggi.

Mostra i risultati (1228 voti)
Leggi i commenti (6)

A questo punto, alcuni autori di malware IoT, come i responsabili di Amnesia e IoT_Reaper, hanno modificato il loro approccio per sfruttare le vulnerabilità note di alcuni device IoT e i vendor hanno risposto con patch ancora nuove. Il passaggio a un classico attacco zero-day verso nuove vulnerabilità rappresenta un passo logico da parte degli attaccanti.

Ecco quindi come Satori si è evoluto per diventare un malware IoT che sfrutta le vulnerabilità zero-day.

L'evoluzione di Satori

Dall'aprile 2017 analizzando i log di diversi attacchi lanciati con malware Satori, sono state identiificate tre diverse varianti.

La prima scansisce Internet e verifica quali indirizzi IP address sono vulnerabili nel telnet login tentando diverse password. Una volta effettuato il login, abilita la shell di access ed esegue solo i comandi "/bin/busybox satori" o "/bin/busybox SATORI".

La seconda variante aggiunge un packer, probabilmente per sfuggire all'identificazione statica. Nel frattempo, il malvivente aggiunge la password "aquario" nel dizionario delle password e usa sempre "aquario" per effettuare il login al primo tentativo. "aquario" è la password di default di un diffuso wireless router in America Latina e indica che l'hacker ha intenzionalmente iniziato a raccogliere bot in quella regione.

La terza variante si avvale di exploit per due vulnerabilità di esecuzione del codice remoto, compresa una zero-day (CVE-2017-17215).

Derivativo di Mirai

Poiché il codice sorgente di Mirai è aperto in Github, gli attaccanti potevano facilmente riutilizzare il codice Mirai per implementare il network scanner e i moduli di login password delle password per lanciare un attacco telnet o di altro genere.

La famiglia di malware Satori conferma che il malware IoT sta continuamente evolvendo dal semplice attacco password brute force a uno che sfrutta le vulnerabilità. Il codice aperto di Mirai offre agli attaccanti un buon punto di partenza per sviluppare nuove varianti.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (0)


La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quale tra le invenzioni presentate alla Electrolux Lab Competition 2013 ti piacerebbe avere?
3F, l'aspirapolvere mutaforma
Breathing Wall, il muro che respira
Nutrima, la bilancia che ti dice se il cibo č fresco
OZ-1, la collana che assorbe i cattivi odori
Kitchen Hub, la dispensa intelligente
Mab, gli insetti che puliscono la casa
Global Chef, cucinare in telepresenza
Atomium, la stampante 3D per i cibi

Mostra i risultati (993 voti)
Dicembre 2019
Il motorino elettrico di Xiaomi che costa come uno smartphone
Il ransomware che riavvia il PC in modalità provvisoria
Il malware fileless che attacca i Mac
Il software per ricevere gli update di Windows 7 senza pagare
Plex sfida Netflix con migliaia di film e serie TV gratis per tutti
Aggiornare gratis a Windows 10 si può ancora, ecco come
Scovare il Product Key di Windows usando solo il sistema operativo
Novembre 2019
WhatsApp, arrivano i messaggi che si autodistruggono
Skimmer virtuali sempre più diffusi, a rischio i dati delle carte di credito
Il pickup elettrico di Tesla debutta con una figuraccia
Falla nell'app fotocamera di Android, milioni di smartphone a rischio
Windows 10, iniziano gli aggiornamenti forzati
Facebook attiva di nascosto la fotocamera dell'iPhone
Apple, deciso in una riunione segreta il dispositivo che sostituirà l'iPhone
Bug in Firefox, truffatori già all'opera
Tutti gli Arretrati


web metrics