Gafgyt contra-ataca: um botnet explora vulnerabilidades em dispositivos D-Link

gurinho

Alguns dispositivos D-Link parecem ser explorados graças a uma vulnerabilidade de uma variante do conhecido malware Gafgyt . A notícia foi divulgada por pesquisadores do grupo Netlab 360 que se propuseram a estudar a nova variante. Parece que os favoritos do malware são principalmente alguns roteadores D-Link e, potencialmente, dispositivos da Internet das Coisas (IoT).

O que é Gafgyt, o malware que explora vulnerabilidades no D-Link

Gafgyt é um malware bastante conhecido, que apareceu pela primeira vez em 2014 e depois se espalhou ao longo dos anos com outros nomes que, por meio de vulnerabilidades de vários dispositivos, é capaz de organizar um ataque generalizado. Este tipo de vírus não danifica diretamente o computador infectado, mas o utiliza como arma de ataque a um alvo maior. Nestes casos falamos de Negação de Serviço Distribuída (DDoS), um ataque que utiliza uma bateria de dispositivos, sem saber que estão infectados, para atingir normalmente um serviço de uma grande empresa, saturando os seus recursos.

Um botnet explora uma série de dispositivos para lançar um ataque contra um único alvo, saturando seus recursos.

Vamos tentar entender como funciona em detalhes:

  1. Os usuários que navegam na web podem encontrar malware que, ao explorar uma provável vulnerabilidade conhecida do sistema, consegue assumi-lo;
  2. Uma vez alcançada uma quantidade significativa de dispositivos infectados, o atacante prepara o instante em que serão enviadas as solicitações de saturação do serviço;
  3. No momento apropriado, todos os dispositivos começarão a fazer solicitações ao servidor atacado, simultânea e continuamente;
  4. O servidor, que normalmente tem uma certa quantidade de largura de banda disponível, irá, no entanto, lidar com uma quantidade inesperada de solicitações que podem causar, na melhor das hipóteses, a incapacidade de aceitar solicitações de usuários reais, na pior das hipóteses, mau funcionamento mais extenso.

Gafgyt é capaz de lançar ataques por meio dos protocolos TCP e UDP, abrindo várias conexões com o servidor atacado. Sua evolução Gafgyt_tor aproveita a rede Tor para a fase de coordenação, dificultando sua localização e parada.

Rede Tor

O complexo sistema de rede conhecido como Rede Tor é frequentemente conhecido como a dark web. Nesse mundo, paralelo à Internet, é mais difícil rastrear carros e transmissões porque toda a navegação é feita no anonimato. Este conceito é obtido graças a uma vasta rede de roteadores conectados entre si graças a comunicações criptografadas em camadas (daí o nome de roteador onion por analogia com as camadas da cebola).

Basicamente, enquanto quando nos conectamos a um serviço web na Internet, a conexão é estabelecida entre nós (o cliente) e o serviço web (o servidor), na dark web a conexão ocorre em pedaços de um roteador a outro por meio de um circuito virtual entre nós Tor. Obviamente, quanto mais roteadores forem usados ​​ao longo do caminho, mais difícil será encontrar o originador da solicitação.

Gafgyt_tor usa o mecanismo de anonimato para se comunicar com o servidor de comando e controle (C2) sem ser identificado. Na verdade, na fase inicial da infecção, ele estabelece uma conexão com um proxy Tor (a partir de uma lista de mais de cem nós e em constante expansão) e, nesse ponto, pede instruções ao servidor C2 através da dark web.

Propagação de GagFyt

No momento, parece que a propagação de malware ocorre principalmente por meio de senhas Telnet fracas e as três vulnerabilidades a seguir:

  • Execução remota de código D-Link (CVE-2019-16920); o invasor é capaz de obter controle completo do sistema (neste caso, alguns dispositivos D-Link) enviando uma entrada arbitrária para a interface do gateway (CGI);
  • Execução Remota de Código do Portal Liferay (CVE-2020-7961); a desserialização de objetos JSON é explorada para assumir o controle do servidor remoto (o Liferay, na verdade, é um CMS baseado em Java para gerenciar conteúdo da web);
  • Citrix Remote Code Execution (CVE-2019-19781); uma vulnerabilidade relativa ao Application Delivery Controller e ao Citrix Gateway que, ao explorar a execução remota de código, permite cruzar o sistema de arquivos.
As vulnerabilidades do dispositivo são usadas por malware para assumir o controle do sistema.

Contramedidas

Mesmo que esses ataques não nos afetem diretamente (mesmo que possamos ser vítimas de sacrifício inocentes) , devemos ser extremamente cuidadosos com o que baixamos da web . A análise antivírus periódica pode, em qualquer caso, prevenir a presença de software malicioso em nossos computadores. Quanto aos dispositivos, no entanto, é sempre bom manter o software atualizado, pois qualquer vulnerabilidade pode ser corrigida durante as atualizações.

Finalmente, aqueles que são as vítimas finais do ataque distribuído podem adotar técnicas e ferramentas avançadas (mas que se referem a firewalls para simplificar) que podem identificar um uso incomum dos recursos da rede ou do sistema. Nessas circunstâncias, se os automatismos perceberem um comportamento incomum, eles podem decidir recusar conexões de entrada de um determinado endereço ou porta, salvaguardando a integridade do sistema.

O artigo do Gafgyt contra-ataca: Um botnet explora vulnerabilidades em dispositivos D-Link vem do Tech CuE | Engenharia de Close-up .