Cabecera-v2-web.jpg

“Mozi” nueva familia de Malware que afecta a dispositivos IoT combinando 3 malwares en 1


Recientemente fue descubierta una nueva amenaza que combina 3 malware diferentes ya conocidos anteriormente, en uno, la misma ha sido bautizada como Mozi, y atacan a dispositivos IoT. Los dispositivos infectados forman un botnet que puede ser utilizada para realizar ataques DDoS, recopilar datos y robar información. Estos 3 malwares son conocidos como: Gafgyt, Mirai y IoT Reaper, familias de malware dirigidas a dispositivos IoT.

Mozi, afecta generalmente a los routers domésticos o aquellos dispositivos que no se encuentran actualizados y/o cuentan con contraseñas débiles o por defecto. Esta Botnet es implementada utilizando el protocolo DHT (Distributed Hash Table) basado en el estándar común utilizado por los clientes Torrent y otras plataformas Peer-to-Peer. Esto Permite aumentar la velocidad de establecimiento de conexión con la red de bots sin la necesidad de un servidor central, lo que a su vez dificulta la detección de los payloads dentro del tráfico DHT normal. Por otro lado, utiliza ECDSA384 y el algoritmo XOR para asegurar la integridad y seguridad de sus componentes, encriptando y desencriptando los config files.

Una vez que, Mozi establece la conexión a través de DTH el archivo config se sincroniza y todas las tareas se ejecutan de acuerdo a las instrucciones del config file, donde también existen distintos campos de control.


¿Cómo se propaga?

El malware utiliza telnet y exploits conocidos para propagarse a los dispositivos vulnerables, o inicia sesión en routers o CCTV-DVR que cuenten con una contraseña débil o por defecto. Una vez que este se encuentre dentro del dispositivo vulnerado, el bot automáticamente forma parte de la red P2P como un nuevo nodo. En la siguiente etapa los nuevos nodos de la red reciben y ejecutan comandos del botnet master, además mantienen su búsqueda de otros dispositivos IoT vulnerables para añadirlos a la red.

La ejecución de instrucciones de cada nodo en Mozi Botnet es controlada por un payload llamado config, y este está controlado por el Botnet Master. Las principales instrucciones incluyen: Ataques DDoS, recolectar información de bots, ejecutar payloads desde una URL y ejecutar comandos del sistema.


Algunas de las vulnerabilidades (con exploits conocidos) aprovechadas por Mozi Botnet:

Recomendaciones:

  • Cambie las contraseñas por defecto de sus dispositivos, y utilice siempre contraseñas robustas.
  • Deshabilite o proteja a través de un firewall el acceso remoto a los dispositivos IoT.
  • Actualice con regularidad el firmware de sus dispositivos IoT.
  • Aplique reglas NAT o Port Forwarding en el router para una conexión segura. Se recomienda además desactivar el método de autenticación WPS o servicios innecesarios como UPnP, ya que han sufrido brechas de seguridad en los últimos tiempos.

Para más información sobre Seguridad en dispositivos IoT, puede consultar las siguientes páginas:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11