Persirai, la botnet IoT dalle origini asiatiche

TrendMicro lancia l'allarme: sono oltre 120mila le Webcam IP vulnerabili

Roma – I laboratori TrendLabs hanno recentemente scoperto una nuova botnet IoT derivata da Mirai, chiamata Persirai. I target sono nuovamente le webcam IoT , dislocate perlopiù negli USA e in Cina .
Il nome deriva dal fatto che i command & control individuati sembrano essere riferiti tutti al dominio di primo livello “.ir” , in uso presso un centro di ricerca iraniano e riservato alla sola cittadinanza locale. Inoltre, in fase di analisi, sono stati rilevati caratteri persiani nell’eseguibile.

Giusto un paio di settimane fa abbiamo analizzato la cugina BrickerBot , il cui obiettivo era quello di distruggere i dispositivi IoT vulnerabili, vantando presunti fini etici.
Questa volta, invece, l’obiettivo del software malevolo sembra essere lo stesso del genitore Mirai : eseguire attacchi denial-of-service distribuiti .

I dispositivi vulnerabili a ELF_PERSIRAI.A sono oltre 120mila, appartenenti a oltre 1.000 modelli diversi di svariati produttori.

Il difetto sfruttato per l’infezione è ancora una volta banale: le webcam espongono un’interfaccia Web di gestione sulla porta 81 , che tramite il protocollo UPnP viene pubblicata su Internet.
La scarsa attenzione dei proprietari nella gestione delle password predefinite fa il resto: oltre ad offrire il proprio stream video al mondo, permettono l’esecuzione di script arbitrari tramite vulnerabilità remote code execution .
Inoltre una vulnerabilità 0-day relativa all’upload di foto e aggiornamenti del firmware via FTP, può essere sfruttata per caricare file arbitrari tramite un account backdoor.

La IP camera esegue quindi il download di uno script da un server command & control installando Persirai, che verrà eseguito esclusivamente in memoria cancellandosi automaticamente. Le azioni immediatamente eseguite dal malware consistono innanzitutto nel blocco temporaneo di ulteriori attacchi tramite la 0-day, linkando ftpupdate.sh e ftpupload.sh a /dev/null , poi nell’avvio della fase di propagazione, scansionando la rete alla ricerca di ulteriori dispositivi che presentano alcune vulnerabilità recentemente scoperte .
Il bot si collegherà quindi al command & control dal quale potrà ricevere istruzioni per condurre attacchi DDoS basati su flood di pacchetti SSDP (Simple Service Discovery Protocol), che opera in multicast sulla porta 1900 UDP. Trattandosi di un protocollo senza connessione, è possibile per il malware effettuare lo spoofing dell’indirizzo IP sorgente , mascherando la provenienza dell’attacco e rendendone difficile la mitigazione.
Per facilitare le operazioni di rilevamento, TrendMicro ha pubblicato gli hash del payload installato e la Yara Rule per la classificazione.

rule Persirai {
meta:
description = "Detects Persirai Botnet Malware"
author = "Tim Yeh"
reference = "Internal Research"
date = "2017-04-21"
hash1 = "f736948bb4575c10a3175f0078a2b5d36cce1aa4cd635307d03c826e305a7489"
hash2 = "e0b5c9f874f260c840766eb23c1f69828545d7820f959c8601c41c024044f02c"
hash3 = "35317971e346e5b2a8401b2e66b9e62e371ce9532f816cb313216c3647973c32"
hash4 = "ff5db7bdb4de17a77bd4a552f50f0e5488281cedc934fc3707833f90484ef66c"
hash5 = "ec2c39f1dfb75e7b33daceaeda4dbadb8efd9015a9b7e41d595bb28d2cd0180f"

strings:
$x1 = "ftpupload.sh" fullword ascii
$x2 = "/dev/misc/watchdog" fullword ascii
$x3 = "/dev/watchdog" ascii
$x4 = ":52869/picsdesc.xml" fullword ascii
$x5 = "npxXoudifFeEgGaACScs" fullword ascii

$s1 = "ftptest.cgi" fullword ascii
$s2 = "set_ftp.cgi" fullword ascii
$s3 = "2580e538f3723927f1ea2fdb8d57b99e9cc37ced1" fullword ascii
$s4 = "023ea8c671c0abf77241886465200cf81b1a2bf5e" fullword ascii

condition:
uint16(0) == 0x457f and filesize < 300KB and
(
( 1 of ($x*) and 1 of ($s*) ) or
2 of ($s*)
)
}

Patrizio Tufarolo

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • iRoby scrive:
    Grammatica
    Qualcuno revisioni l'articolo è pieno di errori. In due parole Fa Schifo!
  • ... scrive:
    ...
    (rotfl)(nolove)(nolove)(nolove) :-o(nolove)(nolove)(nolove)(rotfl)(nolove) :D :D :D :D :D :D :D(nolove)(nolove) :D(cylon)(cylon)(cylon)(cylon)(cylon) :D(nolove)(nolove) :D(cylon)(rotfl)(rotfl)(rotfl)(cylon) :D(nolove) :-o :D(cylon)(rotfl)(newbie)(rotfl)(cylon) :D :-o(nolove) :D(cylon)(rotfl)(rotfl)(rotfl)(cylon) :D(nolove)(nolove) :D(cylon)(cylon)(cylon)(cylon)(cylon) :D(nolove)(nolove) :D :D :D :D :D :D :D(nolove)(rotfl)(nolove)(nolove)(nolove) :-o(nolove)(nolove)(nolove)(rotfl)
  • cefeo scrive:
    strumento di tutti
    "La liberazione di Chelsea è una vittoria dei diritti umani, del diritto di parola e di tutte le persone transgender in tutto il mondo".Scemenze strumentalizzanti.La liberazione di Chelsea è frutto di calcolo politico.Punto e basta.Gli psicopatici che si susseguono nei posti di potere non sanno neanche che cosa vuole dire 'diritto umano', 'diritto di parola' e 'persone transgender'.Per loro tutto è frutto di convenienza, per questo sono politici.Chelsea è stato strumento dei politici ed ora di tutti gli avvoltoi che approfittano del suo nome per portare acqua al loro mulino.
  • bubba scrive:
    plauso a barakko
    plauso a barakko che gli ha dato la grazia prima di sloggiare........ per un'attivita' di spionaggio come quella di manning di solito si diventa anziani morti in carcere......
    • Mistral scrive:
      Re: plauso a barakko
      - Scritto da: bubba
      plauso a barakko che gli ha dato la grazia prima
      di sloggiare........ per un'attivita' di
      spionaggio come quella di manning di solito si
      diventa anziani morti in
      carcere......secondo me barak lo ha solo fatto per dispetto a trump.
      • bubba scrive:
        Re: plauso a barakko
        - Scritto da: Mistral
        - Scritto da: bubba

        plauso a barakko che gli ha dato la grazia prima

        di sloggiare........ per un'attivita' di

        spionaggio come quella di manning di solito si

        diventa anziani morti in

        carcere......

        secondo me barak lo ha solo fatto per dispetto a
        trump.beh chiamalo 'dispetto' se vuoi...... barakko, pensando alla sensibilita' di un rutto pseudo-repubblicano che ha trump, ha deciso di fare qualcosa prima di mollare lo scranno..
    • bradipao scrive:
      Re: plauso a barakko
      - Scritto da: bubba
      plauso a barakko che gli ha dato la grazia prima
      di sloggiare........ per un'attivita' di
      spionaggio come quella di manning di solito si
      diventa anziani morti in carcere......Lo ha tenuto 7 anni in gattabuia in condizioni che farebbero impallidire un gulag, e le ha dato la grazia solo per impedire che lo facessero i sucXXXXXri. Se per assurdo fosse stato rieletto, sarebbe ancora dentro.Come paragone, un'altra celebre "spia" (anna chapman) colpevole di cospirazione, arrestata il 27 giugno 2010, è stata rilasciata l'8 luglio 2010: detenuta per poco più di 10 giorni.
Chiudi i commenti