A inizio dicembre 2017, 360 Netlab ha identificato una nuova famiglia di malware che è stata chiamata Satori. Derivativo di Mirai, il malware sfrutta due vulnerabilità: CVE-2014-8361, vulnerabilità di esecuzione del codice nel servizio miniigd SOAP di Realtek SDK, e CVE 2017-17215, vulnerabilità appena scoperta nell'home gateway HG532e di Huawei, la cui patch è stata resa disponibile a dicembre 2017.

La Unit 42 di Palo Alto Networks ha analizzato Satori, scoprendo che ne esistono tre varianti: la prima comparsa ad aprile 2017, otto mesi prima dei più recenti attacchi. La versione di Satori che sfrutta CVE 2017-17215 era già attiva a novembre 2017, prima della disponibilità della patch, il che ne conferma la natura come attacco zero-day.

L'analisi condotta sull'evoluzione di Satori conferma la nostra teoria che altri malware IoT si trasformeranno al fine di sfruttare vulnerabilità note o anche quelle zero-day.

Spunti di approfondimento:

Il televisore nottambulo: una storia dell'IoT

Lampadine smart, due falle regalano agli hacker la password del Wi-Fi

Matter: l'IoT non sarà più la stessa

Diffidate di qualunque apparecchio abbia meno di 10 anni

Le prima famiglia di malware IoT, come Gafgyt e la famiglia originale Mirai, si avvaleva di password deboli o di default per attaccare i dispositivi. In risposta, utenti e produttori hanno iniziato a cambiarle e a renderle più sicure per contrastare le minacce.

A questo punto, alcuni autori di malware IoT, come i responsabili di Amnesia e IoT_Reaper, hanno modificato il loro approccio per sfruttare le vulnerabilità note di alcuni device IoT e i vendor hanno risposto con patch ancora nuove. Il passaggio a un classico attacco zero-day verso nuove vulnerabilità rappresenta un passo logico da parte degli attaccanti.

Ecco quindi come Satori si è evoluto per diventare un malware IoT che sfrutta le vulnerabilità zero-day.

L'evoluzione di Satori

Dall'aprile 2017 analizzando i log di diversi attacchi lanciati con malware Satori, sono state identiificate tre diverse varianti.

La prima scansisce Internet e verifica quali indirizzi IP address sono vulnerabili nel telnet login tentando diverse password. Una volta effettuato il login, abilita la shell di access ed esegue solo i comandi "/bin/busybox satori" o "/bin/busybox SATORI".

La seconda variante aggiunge un packer, probabilmente per sfuggire all'identificazione statica. Nel frattempo, il malvivente aggiunge la password "aquario" nel dizionario delle password e usa sempre "aquario" per effettuare il login al primo tentativo. "aquario" è la password di default di un diffuso wireless router in America Latina e indica che l'hacker ha intenzionalmente iniziato a raccogliere bot in quella regione.

La terza variante si avvale di exploit per due vulnerabilità di esecuzione del codice remoto, compresa una zero-day (CVE-2017-17215).

Derivativo di Mirai

Poiché il codice sorgente di Mirai è aperto in Github, gli attaccanti potevano facilmente riutilizzare il codice Mirai per implementare il network scanner e i moduli di login password delle password per lanciare un attacco telnet o di altro genere.

La famiglia di malware Satori conferma che il malware IoT sta continuamente evolvendo dal semplice attacco password brute force a uno che sfrutta le vulnerabilità. Il codice aperto di Mirai offre agli attaccanti un buon punto di partenza per sviluppare nuove varianti.