Malware IoT RapperBot en servidores SSH basado en Mirai

Fortinet presenta una familia de malware IoT en rápida evolución conocida como RapperBot. La familia se basa en gran medida en el código fuente original de Mirai, pero también tiene una capacidad integrada para obtener credenciales de fuerza bruta y obtener acceso a servidores SSH en lugar de Telnet.

Además, las muestras recientes muestran que sus desarrolladores han comenzado a agregar código para mantener la persistencia, lo que rara vez se hace en otras variantes de Mirai. Esto proporciona a los actores de amenazas un acceso continuo a los dispositivos infectados a través de SSH, incluso después de reiniciar el dispositivo o de eliminar el malware. Esta familia de malware está diseñada para funcionar principalmente como fuerza bruta SSH con capacidades DDoS limitadas. Como es típico de la mayoría del malware IoT, se dirige a arquitecturas ARM, MIPS, SPARC y x86.

¿Cómo funciona?

RapperBot reutiliza en gran medida partes del código fuente de Mirai, pero sus características y detalles de implementación, por ejemplo, el protocolo de comando Command & Control (C2), difiere significativamente del Mirai original. La mayor parte del código de malware contiene una implementación de un cliente SSH 2.0 que puede conectarse y aplicar fuerza bruta a cualquier servidor SSH que admita el intercambio de claves Diffie-Hellmann con claves de 768 o 2048 bits y cifrado de datos mediante AES128-CTR.

Desde mediados de julio, ha pasado de la auto propagación a mantener el acceso remoto a los servidores SSH de fuerza bruta. Ejecuta un comando de shell para reemplazar (~ / . ssh / authorized _ keys) de las víctimas remotas con una que contiene la clave pública SSH de los actores de amenazas con el comentario "helloworld".

Las claves públicas almacenadas en (~ / . ssh / authorized _ keys) permiten a cualquier persona con la clave privada correspondiente conectarse y autenticarse en un servidor SSH sin necesidad de proporcionar una contraseña logrando que los actores de amenazas puedan acceder a ellos incluso después de que se hayan cambiado las credenciales de SSH o se haya deshabilitado la autenticación de contraseña de SSH. Además, dado que se reemplaza el archivo, se eliminan todas las claves autorizadas existentes, lo que impide que los usuarios legítimos accedan al servidor SSH a través de la autenticación de clave pública.

La Figura 1 ilustra cómo funcionan las últimas muestras de RapperBot. Las líneas punteadas indican acciones potenciales que el actor de amenazas podría realizar pero que no se han observado en la naturaleza.

Comunicación

RapperBot se comunica con su servidor C2 a través de solicitudes TCP en puertos separados para recibir comandos. Este comienza enviando un paquete de registro al servidor C2. Esto incluye el argumento (denominado "fuente" por Mirai) utilizado cuando se ejecutó el binario en el sistema de la víctima, que generalmente proporciona información contextual básica sobre su ejecución. Por ejemplo, "ssh.wget.arm7" le diría al C2 que el binario se propagó a través del protocolo SSH, se descargó a través de la utilidad wget y tiene una arquitectura ARM.

Características

Durante ese tiempo, el malware ha sufrido variaciones, por lo que no ha sido posible identificar la motivación principal de los actores de amenazas para lanzar esta campaña. En un momento, se observaron ejemplos en los que las capacidades de ataque DDoS se eliminaron por completo y se volvieron a agregar una semana después. Además, la auto propagación se eliminó después de unos días a fines de junio, con el enfoque actual en retener agresivamente el acceso continuo a los servidores SSH de fuerza bruta. Por todo lo anterior es posible que toda esta campaña sea todavía un trabajo en progreso.

Solo podemos especular sobre por qué los actores de amenazas están acumulando una colección de servidores SSH comprometidos que crece rápidamente. Se han observado más de 3500 direcciones IP únicas en el último mes y medio intentando escanear y forzar servidores SSH con la cadena de identificación de cliente SSH-2.0-HELLOWORLD. Las IP de EE. UU., Taiwán y Corea del Sur comprendían la mitad de los IP observados entre mediados de junio de 2022 y finales de julio del mismo año.

Apreciación

Aunque esta amenaza toma prestado en gran medida el código de Mirai, tiene características que la diferencian de su predecesora y sus variantes. Su capacidad para persistir en el sistema de la víctima brinda a los actores de amenazas la flexibilidad de usarlos para cualquier propósito malicioso que deseen. Debido a algunos cambios significativos que ha sufrido RapperBot, su principal motivación sigue siendo un misterio. Dado que su principal método de propagación es la fuerza bruta de las credenciales SSH, esta amenaza se puede mitigar fácilmente estableciendo contraseñas seguras para los dispositivos o deshabilitando la autenticación de contraseña para SSH (cuando sea posible). 

A pesar de que las reales intenciones de la botnet no están claras, no se descarta que se trate de fines económicos, fines políticos por naciones-estado u otra organización que busca demostrar potencial tecnológico o desprestigiar a adversarios. A nivel nacional aún no se tiene conocimiento de víctimas por parte del malware, sin embargo, existen registros a nivel latinoamericano (México) de equipos infectados, por lo que podemos asumir que es cuestión de tiempo sumar nuevos involucrados en el panorama sudamericano.  

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Una buena estrategia que proteja adecuadamente todos los equipos que haya conectados a Internet en nuestra empresa u organización.
• Un Cortafuegos capaz de bloquear todas las solicitudes de acceso que no sean legítimas.
• Evaluar la utilización de un servicio de mitigación de DDoS, junto con la implementación de aplicaciones a través de una infraestructura altamente distribuida.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.