Recientemente, los expertos de seguridad de ESET han detectado una nueva amenaza que busca infectar principalmente routers basados en Linux y dispositivos IoT conectados constantemente a la red. Esta amenaza ha recibido el nombre de Remaiten. Remaiten es un nuevo malware creado a partir de dos amenazas ya conocidas (Tsunami (también conocido como Kaiten) y Gafgyt) que, a su vez, mejora las principales funciones de estas y añade nuevas para poder llevar a cabo ataques más complejos.

ESET ha registrado hace pocas horas una nueva versión de este malware, la 2.2, que incluye comandos wget/tftp y cuenta con binarios para infectar dispositivos de arquitecturas PowerPC y SuperH, siendo así capaz de infectar prácticamente cualquier dispositivo del mercado.

Cómo funciona el malware Remaiten

  • Una de las características más peculiares de este malware es su forma de distribución. Cuando recibe órdenes desde su servidor de control, el malware intenta conectarse a direcciones IP aleatorias a través de telnet, utilizando el puerto 23. Si consigue conexión, utiliza un diccionario para intentar adivinar el usuario y la contraseña y conseguir tomar el control del dispositivo.
  • Una vez consigue acceso, el malware descarga en el equipo afectado una serie de ficheros ejecutables e intenta ejecutarlos. Estos archivos están compilados para múltiples arquitecturas así que, en lugar de analizar el dispositivo y ejecutar el binario adecuado para llevar a cabo la infección, simplemente descarga y ejecuta todos hasta que uno lo hace con éxito. Además de muchas arquitecturas arcaicas, este malware también es compatible con ARM y MIPS.
  • Cuando el malware se ha instalado con éxito en el router o dispositivo IoT, este permanece ejecutado como un demonio, siempre en primer plano, conectado a su servidor C&C a través de una interfaz IRC y a la espera de órdenes. Todas las conexiones se realizan cifradas, por lo que es bastante complicado poder detectarlas.

Remaiten IRC

  • Este malware puede recibir una serie de órdenes o comandos desde el servidor de control. Estas funciones han sido heredadas de Tsunami y Gafgyt, y se centran principalmente en buscar nuevas víctimas (ya que forma parte de una botnet), y realizar todo tipo de ataques de red como ataques de desbordamiento en el router, la descargar archivos modificados, realizar barridos de IPs mediante telnet, etc. Este malware no se lleva bien con otros bots, por lo que también tiene una función para finalizar cualquier demonio o proceso que no sea imprescindible para el router.
  • Como podemos ver, una amenaza bastante simple pero preocupante a la vez. Es muy complicado defenderse de ella ya que, igual que no podemos instalar un antivirus en un router, la infección no depende del usuario, sino que podemos llegar a ser víctimas incluso por azar, por mala suerte. La única recomendación de seguridad que podemos daros es, si el router lo permite, cambiar la contraseña del telnet para que, en caso de ser objetivo de Remaiten, este no pueda conectarse a nuestro router.

Fuente: We Live Security

Anuncios