01net

Come funziona il malware IoT dei router domestici

All’inizio dello scorso dicembre, 360 Netlab ha identificato una nuova famiglia di malware, chiamata Satori.

Derivativo di Mirai, il malware sfrutta due vulnerabilità: CVE-2014-8361, vulnerabilità di esecuzione del codice nel servizio miniigd SOAP di Realtek SDK, e CVE 2017-17215, vulnerabilità scoperta nell’home gateway HG532e di Huawei, la cui patch è stata già resa disponibile.

Tre varianti di Satori

La Unit 42 di Palo Alto Networks ha analizzato Satori, scoprendo che ne esistono tre varianti: la prima comparsa ad aprile 2017, otto mesi prima dei più recenti attacchi. Abbiamo inoltre trovato che la versione di Satori che sfrutta CVE 2017-17215 era già attiva a novembre 2017, prima della disponibilità della patch, il che ne conferma la natura come attacco zero-day.

Per Palo Alto l’analisi condotta sull’evoluzione di Satori conferma la teoria che altri malware IoT si trasformeranno per sfruttare vulnerabilità note o anche quelle zero-day.

Le prima famiglia di malware IoT, come Gafgyt e la famiglia originale Mirai, si avvalevano di password deboli o di default per attaccare i dispositivi.

Utenti e produttori hanno iniziato a cambiarle e a renderle più sicure per contrastare le minacce. A questo punto, alcuni autori di malware IoT, come i responsabili di Amnesia e IoT_Reaper, hanno modificato il loro approccio per sfruttare le vulnerabilità note di alcuni device IoT e i vendor hanno risposto con patch ancora nuove.

Il passaggio a un classico attacco zero-day verso nuove vulnerabilità rappresenta un passo logico da parte degli attaccanti.

Vediamo come Satori si è evoluto per diventare un malware IoT che sfrutta le vulnerabilità zero-day.

Come funziona il malware

Palo Alto, si diceva, ha identificato tre diverse varianti di Satori.

La prima scansisce Internet e verifica quali indirizzi IP address sono vulnerabili nel telnet login tentando diverse password. Una volta effettuato il login, abilita la shell di access ed esegue solo i comandi “/bin/busybox satori” o “/bin/busybox SATORI”.

La seconda variante aggiunge un packer, probabilmente per sfuggire all’identificazione statica. Nel frattempo, il malvivente aggiunge la password “aquario” nel dizionario delle password e usa sempre “aquario” per effettuare il login al primo tentativo. “aquario” è la password di default di un diffuso wireless router in America Latina e indica che l’hacker ha intenzionalmente iniziato a raccogliere bot in quella regione.

La terza variante si avvale di exploit per due vulnerabilità di esecuzione del codice remoto, compresa una zero-day (CVE-2017-17215).

Poiché il codice sorgente di Mirai è aperto in Github, gli attaccanti potevano facilmente riutilizzare il codice Mirai per implementare il network scanner e i moduli di login password delle password per lanciare un attacco telnet o di altro genere.

La famiglia di malware Satori conferma che il malware IoT sta continuamente evolvendo dal semplice attacco password brute force a uno che sfrutta le vulnerabilità.

Il codice aperto di Mirai offre agli attaccanti un buon punto di partenza per sviluppare nuove varianti.

Palo Alto Networks ha rilasciato la signature IPS (37896) per la vulnerabilità zero-day sfruttata da Satori.