Um grupo de hackers desconhecido está aproveitando um malware anteriormente desconhecido chamado Ttint, que é classificado como um cavalo de Tróia específico da IoT. O que sabemos é que os desenvolvedores de hackers estão usando duas vulnerabilidades de dia zero para invadir os dispositivos alvo. A análise de segurança levou a uma investigação, revelando assim as fraquezas em dois avisos publicados: CVE-2018-14558 e CVE-2020-10987. Das amostras capturadas, parece que o malware é baseado no código Mirai.
CVE-2018-14558 & CVE-2020-10987 usado como mecanismo para entregar o cavalo de Troia Ttint IoT
Um novo e perigoso Trojan IoT ataca dispositivos em todo o mundo. De acordo com a análise de código lançada, é baseado no código Mirai e desenvolvido por um grupo de hackers desconhecido. Como outros vírus desta categoria, quando uma única infecção ocorre, ele automaticamente tenta invadir outros hosts semelhantes, criando assim uma grande rede botnet no processo. Por esta razão, tais campanhas de ataque são consideradas muito eficazes se a configuração e os alvos adequados forem feitos.
As infiltrações com esse malware específico são feitas usando a abordagem típica de ataques diretos à rede — os hackers usarão estruturas automatizadas carregadas com as vulnerabilidades necessárias. Se as redes alvo não forem corrigidas, as infecções acontecerão automaticamente. Uma das razões pelas quais essas intrusões foram vistas como críticas em seu potencial de danos é porque os pontos fracos foram rotulados como “zero-day”, eles eram desconhecidos antes das infecções.
Os primeiros ataques foram detectados em novembro 2019, quando o Trojan Ttint IoT foi lançado contra os proprietários de roteadores Tenda. Esta primeira instância usou as duas vulnerabilidades e a divulgação pública foi feita em julho 2020. A segunda onda de ataque foi realizada em agosto 2020, novamente contra dispositivos Tenda. O Ttint Trojan está focado em usar esses dois conselhos:
- CVE-2018-14558 — Um problema foi descoberto em dispositivos Tenda AC7 com firmware por meio de V15.03.06.44_CN(AC7), Dispositivos AC9 com firmware até V15.03.05.19(6318)_CN(AC9), e dispositivos AC10 com firmware por meio de V15.03.06.23_CN(AC10). Uma vulnerabilidade de injeção de comando permite que os invasores executem comandos arbitrários do sistema operacional por meio de uma solicitação goform / setUsbUnload criada. Isso ocorre porque o “formsetUsbUnload” função executa uma função dosystemCmd com entrada não confiável.
- CVE-2020-10987 — O ponto final goform / setUsbUnload da versão Tenda AC15 AC1900 15.03.05.19 permite que atacantes remotos executem comandos arbitrários do sistema por meio do parâmetro deviceName POST.
De acordo com as informações disponíveis, a maioria dos atentados é contra vítimas na América do Sul.
Capacidades do cavalo de Tróia Ttint IoT
O Trojan Tting Iot é baseado no Mirai e, como tal, inclui uma sequência de infecção semelhante. Embora inclua a mesma abordagem de negação de serviço distribuída, os hackers também implementaram um 12 instruções de controle.
Quando a infecção é executada nos computadores afetados, uma das primeiras ações será esconda as trilhas de vírus de ser detectado. Isso é feito monitorando o sistema operacional com o objetivo de procurar quaisquer sistemas de segurança instalados. Se algum for encontrado, o Trojan tentará desativá-lo, isso funciona para programas e serviços como programas antivírus, firewalls, hosts de máquinas virtuais e etc. Este mecanismo de malware pode excluir a si mesmo se não conseguir contornar esses programas.
Quando o Trojan é encontrado em um determinado sistema, ele impede que o sistema seja reiniciado, este é um exemplo de um instalação persistente. Isso é intencional e difere de outras ameaças semelhantes que simplesmente iniciam o vírus quando o dispositivo é ligado.
Os nomes reais sob os quais os processos associados ao malware operam serão renomeados, esta é uma tentativa de esconder sua presença. Todos os arquivos de configuração e dados associados à sua operação são criptografados, tornando-os disponíveis apenas para os hackers. Algumas das características distintas do Trojan Ttint IoT são as seguintes:
- Operação avançada de Trojan - O programa de agente instalado localmente se conectará a um servidor controlado por hacker e permitirá que invasores remotos assumam totalmente o controle dos dispositivos. Contudo, em vez de usar uma conexão padrão, este vírus em particular usará um protocolo de websocket que torna muito difícil rastrear os pacotes.
- Uso do servidor proxy - A comunicação entre o computador local e o servidor remoto controlado por hacker será retransmitida por meio de um servidor proxy operado pelos criminosos.
- Hijack de acesso à rede - O malware irá reconfigurar arquivos de configuração importantes dos dispositivos alvo. Como eles são na maioria roteadores, ao fazê-lo, os criminosos terão acesso total ao acesso à rede dos usuários.
- Exposição de rede - Ao reescrever as regras de firewall, a ameaça será capaz de expor os serviços privados que são implantados nas máquinas atrás da rede interna.
- Melhorar - Em determinados intervalos, o malware principal verificará se há uma nova versão dele lançada. Ele pode ser atualizado automaticamente para qualquer iteração mais recente.
Como outros vírus desta categoria, é capaz de seqüestrar informações confidenciais do dispositivo host, incluindo os componentes de hardware disponíveis. Os dados coletados serão informados aos criminosos durante a transmissão da rede.
Uma lista completa dos comandos integrados implementados é a seguinte:
attack_udp_generic, attack_udp_vse, attack_udp_dns, attack_udp_plain, atack_tcp_flag, attack_tcp_pack, attack_tcp_xmas, attack_grep_ip, attack_grep_eth, attack_app_http, execute o comando “nc”, execute o comando “ls”, executar comandos do sistema, adulteração de roteador DNS, Reportar informações do dispositivo, Config iptables, execute o comando “ifconfig”, auto-saída, Abra o proxy Socks5, Proxy Clos Socks5, Autoatualização, escudo reverso
Neste momento, a melhor remediação é atualize para o firmware mais recente disponível do fabricante do dispositivo. No momento Barraca é o único fabricante conhecido de dispositivos direcionados. Dada a magnitude dos ataques e a extensa lista de recursos, esperamos que ataques futuros tenham como alvo uma gama mais ampla de dispositivos IoT.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: