La nueva botnet &#39HEH&#39 apunta a servicios Telnet expuestos



La última amenaza forma parte de una creciente lista de malware desarrollado en el lenguaje de programación Go.

Ha surgido una botnet de igual a igual (P2P) potencialmente destructiva que se dirige a una amplia variedad de dispositivos de Web de las cosas (IoT) con servicios telnet expuestos o débilmente protegidos.

Investigadores de 360NetLab, con sede en China, que recientemente descubrieron la llamada botnet HEH esta semana, describieron el malware como capaz de borrar todos los datos de los sistemas infectados. Según el proveedor de seguridad, la botnet representa una amenaza para cualquier dispositivo con un servicio telnet expuesto, independientemente de si el dispositivo está basado en x86, ARM, MIPS, PPC o cualquier otra arquitectura de chip.

Se ha observado que el malware se propaga a través de ataques de fuerza bruta contra servidores, enrutadores y otros sistemas conectados a World wide web con puertos SSH expuestos 23 y 2323. El bot, al igual que un número creciente de herramientas de malware, está escrito en código GO. Utiliza un protocolo P2P patentado para comunicarse con otros dispositivos infectados y recibir comandos. El malware incluye tres componentes separados: un módulo P2P, un módulo de propagación y un servicio HTTP community.

El bot muestra 360NetLab analizado se descargaron y ejecutaron a través de un script de Shell malicioso. El código malicioso no intenta enumerar el entorno en el que se encuentra. En cambio, simplemente descarga y ejecuta programas maliciosos para una variedad de arquitecturas de CPU diferentes, uno tras otro, dijo 360NetLab. El script y los binarios que analizó el proveedor de seguridad estaban alojados en un sitio web legítimo pero probablemente comprometido.

Una vez iniciado, el malware mata varios servicios en el dispositivo infectado según el puerto (23 o 2323) que se utilizó para obtener acceso. Luego, inicia un servidor HTTP que inicialmente obtiene una copia de la «Declaración Universal de Derechos Humanos» en chino y otros siete idiomas. Este contenido inicial se sobrescribe rápidamente con datos extraídos de otro par infectado en la botnet, dijo 360NetLab.

Según el proveedor, una función de autodestrucción en el malware es especialmente notable. «Cuando el Bot recibe un (comando) con el número de código 8, el Bot intentará borrar todo en todos los discos» a través de una serie de comandos de Shell «, dijo el vendedor.

El informe de 360NetLab no ofreció información sobre si la botnet HEH se utilizaría para lanzar ataques distribuidos de denegación de servicio (DDoS), distribuir spam y malware, o para otros fines. Por el momento, al menos, la función de ataque de la botnet no se ha implementado, lo que sugiere que la botnet HEH aún está en desarrollo, dijo el proveedor de seguridad.

Una tendencia continua
El bot HEH es parte de un número creciente de herramientas de malware dirigidas a SSH escritas en el lenguaje de programación Go que se han observado últimamente. Representan un cambio del malware IoT más antiguo como Mirai que se desarrolló en C u otros lenguajes de programación como Perl y C ++. Solo este año, varios proveedores e investigadores han informado sobre bots de IoT escritos en Go, incluidos Kaiji, IRCfluy más recientemente FritzFrog, una botnet peer-to-peer que ha comprometido activamente los servidores SSH desde principios de este año.

Craig Youthful, investigador de seguridad informática del equipo de investigación de vulnerabilidad y exposición de Tripwire, dice que la creciente popularidad de Go entre los actores de amenazas es interesante. La botnet HEH es una de una serie de botnets basadas en el lenguaje Go que parecen provenir de un pequeño grupo de desarrolladores de malware. Sugiere una nueva generación de autores de malware o una nueva ola de capacidades.

«Go es un lenguaje de programación muy poderoso con una amplia biblioteca de módulos compatibles con la comunidad», dice Youthful.

Go permite a los desarrolladores manipular comportamientos de muy bajo nivel, señala.

«Los autores de malware pueden aprovechar esto para frustrar los intentos de análisis mediante el uso de variaciones personalizadas de algoritmos de compresión o cifrado», dice.

Si bien el malware desarrollado en Go no necesariamente complica las defensas de las organizaciones, sí requiere que actualicen sus kits de herramientas en algunas circunstancias, señaló Younger.

La botnet HEH presenta poco riesgo para las organizaciones en su forma precise. Por el momento, solo se ha observado que el malware se dirige a los servicios telnet expuestos, que ninguna organización responsable debería tener, dice.

«Para la mayoría de las organizaciones, la amenaza de esta botnet en este momento es mínima, pero ciertamente podría evolucionar», dice Younger. «Se puede enviar una actualización del malware en cualquier momento para introducir nuevas técnicas de ataque y propagación».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original