Embed Size (px)
DESCRIPTION
Según Webimprints una empresa de pruebas de penetración, Un bot que combina las capacidades de Tsunamis (también conocido como Kaiten) y Gafgyt.
Citation preview
WEBIMPRINTS
Empresa de pruebas de penetración
Empresa de seguridad informáticahttp://www.webimprints.com/seguridad-informatica.html
Linux/Remaiten Malware
Linux/Remaiten MalwareSegún Webimprints una empresa de pruebas de penetración, Un bot que combina las capacidades de Tsunamis (también conocido como Kaiten) y Gafgyt. También ofrece algunas mejoras, así como un par de nuevas características. Sobre la base de los artefactos encontrados en el código, los autores llaman a este nuevo malware " KTN-Remastered" o "KTN-RM".Una característica destacada de Linux/Gafgyt es el escaneo de telnet. Cuando reciba instrucciones para realizar la exploración de telnet, intenta conectarse a direcciones IP aleatorias accesible desde Internet en el puerto 23.
Según expertos de pruebas de penetración, si la conexión se realiza correctamente, se tratará de adivinar las credenciales de acceso de una lista de combinaciones de nombre de usuario / contraseña. Si se conecta con éxito, emite un comando de shell para descargar bot ejecutables para varias arquitecturas e intenta ejecutarlos. Este es una sencilla aunque ruidosa forma de infectar nuevas víctimas, ya que es probable que uno de los binarios se ejecutará en la arquitectura corriendo.
Como funciona Linux/Remaiten Malware
Linux/Remaiten mejora sobre este mecanismo de difusión por llevar ejecutables para arquitecturas de CPU que se utilizan comúnmente en dispositivos embebidos Linux como ARM y MIPS. Después de iniciar sesión a través del indicador de telnet del dispositivo, intenta determinar la nueva plataforma de dispositivo de víctima y transferir sólo el descargador apropiado. El trabajo de este descargador es solicitar la arquitectura apropiada para Linux/Remaiten bot binario desde el servidor de C&C comenta Mike Stevens profesional de empresa de seguridad informática.
Como funciona Linux/Remaiten Malware
Comenta Mike Stevens de empresa de seguridad informática que Este archivo binario se ejecuta entonces en el nuevo dispositivo, creando otro bot para los hackers.Los descargadores de Linux/Remaiten son pequeños ejecutables ELF incrustados en el propio binario bot. Cuando se ejecuta en el dispositivo de la víctima, que se conectan al servidor de C & C del robot y enviar uno de estos comandos:Mips Mipsel Armeabi Armebeabi
Linux/Remaiten Malware
Antes de reanudar el escaneo de telnet, el bot informa al servidor C & C de su progreso. Se envía la dirección IP del nuevo dispositivo de víctima, el éxito de usuario y contraseña par, y si se infecta el otro dispositivo o no. El C & C responderán con un binario ELF bot para la arquitectura requerida. Tenga en cuenta que el puerto TCP utilizado para conectar con el servidor C & C es diferente del servidor IRC del bot. Hay una lista de C & C de direcciones IP del servidor codificado en los binarios de bots. Uno es escogido al azar y el robot se conecta a él en un puerto codificado. El puerto cambia de una variante a otra menciono Mike Stevens de empresa de seguridad informática.
Linux/Remaiten Malware
CONTACTO www.webimprints.com
538 Homero # 303Polanco, México D.F 11570
MéxicoMéxico Tel: (55) 9183-5420
DUBAI702, Smart Heights Tower, Dubai
Sixth Floor, Aggarwal Cyber Tower 1Netaji Subhash Place, Delhi NCR, 110034
IndiaIndia Tel: +91 11 4556 6845
