L'ANALISI TECNICA

HEH, la botnet che sta infettando router e dispositivi IoT: che c’è da sapere

Il malware HEH è capace di infettare dispositivi IoT, router domestici e server aziendali per creare una botnet e condurre attacchi DDoS o effettuare mining di criptovalute. Inoltre, è potenzialmente in grado di distruggere anche i dati archiviati sui dispositivi. Ecco tutti i dettagli

09 Ott 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


Si chiama HEH la nuova botnet che, scoperta dal team di sicurezza Netlab di Qihoo 360, dirotta dispositivi IoT connessi a Internet per eseguire principalmente attacchi DDoS e mining illecito di criptovalute.

Implementata in linguaggio Go 1.15.1 e dotata di un protocollo peer-to-peer (P2P) proprietario, si diffonde tramite attacchi brute force del servizio Telnet sulle porte 23/2323 e può eseguire anche comandi shell arbitrari.

Come riportano gli stessi ricercatori, le analisi eseguite dimostrano che i campioni di botnet HEH scoperti finora (l’identificativo HEH scelto dai ricercatori deriva dal nome del progetto campione scoperto) supportano diverse architetture CPU tra cui x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III) e PowerPC (PPC): ciò significa che il malware HEH può colpire praticamente qualsiasi dispositivo, dai router di casa ai server aziendali, passando per i dispositivi smart connessi alla rete (smart speaker, device per la domotica e l’automazione industriale e via dicendo).

Sebbene il malware HEH sia ancora in fase di sviluppo, dai campioni isolati è stato possibile analizzare una sua struttura modulare indicata nella figura sottostante: un modulo di propagazione, un modulo di servizio HTTP locale e un modulo P2P.

Le fasi di funzionamento della botnet HEH

Analizzando i campioni del malware HEH, gli analisti di Netlab hanno scoperto che la botnet, dopo essere stata scaricata ed eseguita tramite uno script Shell denominato wpqnbw.txt, si occupa di distribuire programmi binari per tutte le diverse architetture di CPU indicate prima, prelevandoli da un sito Web pomf[.cat.

All’avvio, vengono quindi attivati alcuni parametri necessari alla botnet per identificare, ad esempio, l’indirizzo IP della macchina compromessa o di un determinato peer utilizzato per la diffusione del malware. Tra questi parametri, gli analisti hanno puntato la loro attenzione soprattutto sul Daemon Flag, scoprendo che se è impostato sul valore 3, allora verrà abilitata la modalità di funzionamento daemon della botnet.

Successivamente il demone avviato procederà ad interrompere una serie di processi di servizio in base a determinati numeri di porta di comunicazione di rete.

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Banda larga

In una fase successiva, viene avviato un server HTTP settato su un totale di 10 URI di cui solo 8 visualizzano delle pagine web riportanti la Dichiarazione universale dei diritti umani in lingue diverse. Questi contenuti iniziali (probabilmente usati per non creare sospetti nelle vittime) sono solo temporanei in quanto presto vengono sovrascritti dai dati estratti dal servizio HTTP stesso e aggiornati attraverso specifiche istruzioni del protocollo P2P proprietario.

Completata anche questa fase, viene inizializzato il modulo P2P composto principalmente da tre componenti e che tiene traccia di una lista dei peer facenti già parte della botnet HEH:

  1. componente Ping: verrà inviato ad intervalli regolari un comando Ping per rintracciare i peer della botnet;
  2. componente di aggiornamento peer: verranno inviati ad intervalli regolari dei comandi di aggiornamento peer;
  3. componente servizio UDP: il servizio peer locale della botnet è un servizio UDP. Questo servizio monitora i dati o le istruzioni inviate da altri peer, analizza le istruzioni ed esegue le relative operazioni corrispondenti. Diversi i comandi eseguibili via shell tra i quali riavviare il bot, aggiornare l’elenco dei peer, terminare l’esecuzione del e addirittura un comando di autodistruzione. Sebbene un comando “Attack” debba ancora essere implementato dagli autori della botnet, questa componente consente all’aggressore di eseguire comandi shell arbitrari, inclusi quelli che gli consentono di cancellare tutti i dati dal dispositivo compromesso attivando un comando di autodistruzione.

Infine, solo dopo che il bot ha eseguito il modulo P2P, verrà avviata l’attività di forza bruta contro i servizi Telnet in ascolto sulle porte 23 e 2323, in modo parallelo. Quindi si completerà la propagazione. Nella fattispecie, qualora venisse trovato un servizio Telnet aperto sulla porta 23 o 2323, l’attacco di forza bruta viene sferrato utilizzando un dizionario composto da 171 username e 504 password. Solo in caso di successo, la vittima appena infettata viene aggiunta alla botnet consentendo ai criminal hacker di estenderne il raggio di azione.

In conclusione

Come affermato dai ricercatori di Netlab “il meccanismo di funzionamento di questa botnet non è ancora maturo […] e alcune funzioni importanti come il modulo di attacco non sono ancora state implementate. Anche l’implementazione P2P ha ancora dei difetti […] e l’intera botnet è ancora considerata centralizzata, poiché attualmente il nodo bot non può inviare comandi di controllo”.

Detto questo, concludono gli analisti, “la struttura P2P nuova e in via di sviluppo, il supporto dell’architettura di CPU multiple e la funzione di autodistruzione incorporata, rendono questa botnet potenzialmente molto pericolosa”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5