Linux/Remaiten Malware

1
WEBIMPRINTS Empresa de pruebas de penetración
Empresa de seguridad informática http//www.webim
prints.com/seguridad-informatica.html
Linux/Remaiten Malware
2
Linux/Remaiten Malware
Según Webimprints una empresa de pruebas de
penetración, Un bot que combina las capacidades
de Tsunamis (también conocido como Kaiten) y
Gafgyt. También ofrece algunas mejoras, así como
un par de nuevas características. Sobre la base
de los artefactos encontrados en el código, los
autores llaman a este nuevo malware "
KTN-Remastered" o "KTN-RM".Una característica
destacada de Linux/Gafgyt es el escaneo de
telnet. Cuando reciba instrucciones para realizar
la exploración de telnet, intenta conectarse a
direcciones IP aleatorias accesible desde
Internet en el puerto 23.
3
Como funciona Linux/Remaiten Malware
Según expertos de pruebas de penetración, si la
conexión se realiza correctamente, se tratará de
adivinar las credenciales de acceso de una lista
de combinaciones de nombre de usuario /
contraseña. Si se conecta con éxito, emite un
comando de shell para descargar bot ejecutables
para varias arquitecturas e intenta ejecutarlos.
Este es una sencilla aunque ruidosa forma de
infectar nuevas víctimas, ya que es probable que
uno de los binarios se ejecutará en la
arquitectura corriendo.
4
Como funciona Linux/Remaiten Malware
Linux/Remaiten mejora sobre este mecanismo de
difusión por llevar ejecutables para
arquitecturas de CPU que se utilizan comúnmente
en dispositivos embebidos Linux como ARM y MIPS.
Después de iniciar sesión a través del indicador
de telnet del dispositivo, intenta determinar la
nueva plataforma de dispositivo de víctima y
transferir sólo el descargador apropiado. El
trabajo de este descargador es solicitar la
arquitectura apropiada para Linux/Remaiten bot
binario desde el servidor de CC comenta Mike
Stevens profesional de empresa de seguridad
informática.
5
Linux/Remaiten Malware
Comenta Mike Stevens de empresa de seguridad
informática que Este archivo binario se ejecuta
entonces en el nuevo dispositivo, creando otro
bot para los hackers.Los descargadores de
Linux/Remaiten son pequeños ejecutables ELF
incrustados en el propio binario bot. Cuando se
ejecuta en el dispositivo de la víctima, que se
conectan al servidor de C C del robot y enviar
uno de estos comandosMips Mipsel Armeabi
Armebeabi
6
Linux/Remaiten Malware
Antes de reanudar el escaneo de telnet, el bot
informa al servidor C C de su progreso. Se
envía la dirección IP del nuevo dispositivo de
víctima, el éxito de usuario y contraseña par, y
si se infecta el otro dispositivo o no. El C C
responderán con un binario ELF bot para la
arquitectura requerida. Tenga en cuenta que el
puerto TCP utilizado para conectar con el
servidor C C es diferente del servidor IRC del
bot. Hay una lista de C C de direcciones IP del
servidor codificado en los binarios de bots. Uno
es escogido al azar y el robot se conecta a él en
un puerto codificado. El puerto cambia de una
variante a otra menciono Mike Stevens de empresa
de seguridad informática.
7
CONTACTO
www.webimprints.com

• 538 Homero 303Polanco, México D.F
  11570 MéxicoMéxico Tel (55) 9183-5420
• DUBAI
• 702, Smart Heights Tower, DubaiSixth Floor,
  Aggarwal Cyber Tower 1Netaji Subhash Place,
  Delhi NCR, 110034IndiaIndia Tel 91 11 4556
  6845