La Unit 42 di Palo Alto Networks scopre tre varianti di Satori, una famiglia malware derivata da Mirai e capace di sfruttare due differenti vulnerabilità per attaccare.
Il codice maligno sfrutta: CVE-2014-8361, vulnerabilità di esecuzione del codice nel servizio miniigd SOAP di Realtek SDK, e CVE 2017-17215, vulnerabilità appena scoperta nell’home gateway HG532e di Huawei, la cui patch è stata resa disponibile a dicembre 2017.
Le tre varianti: la prima comparsa ad aprile 2017, otto mesi prima dei più recenti attacchi. Abbiamo inoltre trovato che la versione di Satori che sfrutta CVE 2017-17215 era già attiva a novembre 2017, prima della disponibilità della patch, il che ne conferma la natura come attacco zero-day.
L’analisi condotta sull’evoluzione di Satori conferma la nostra teoria che altri malware IoT si trasformeranno al fine di sfruttare vulnerabilità note o anche quelle zero-day.
La prima famiglia di malware IoT, come Gafgyt e la famiglia originale Mirai, si avvaleva di password deboli o di default per attaccare i dispositivi. In risposta, utenti e produttori hanno iniziato a cambiarle e a renderle più sicure per contrastare le minacce. A questo punto, alcuni autori di malware IoT, come i responsabili di Amnesia e IoT_Reaper, hanno modificato il loro approccio per sfruttare le vulnerabilità note di alcuni device IoT e i vendor hanno risposto con patch ancora nuove. Il passaggio a un classico attacco zero-day verso nuove vulnerabilità rappresenta un passo logico da parte degli attaccanti.
L’evoluzione di Satori
Dall’aprile 2017 abbiamo rilevato e bloccato diversi attacchi lanciati con malware Satori e analizzando i log e i risultati dell’analisi, abbiamo identificato tre diverse varianti.
La prima scansisce Internet e verifica quali indirizzi IP address sono vulnerabili nel telnet login tentando diverse password. Una volta effettuato il login, abilita la shell di access ed esegue solo i comandi “/bin/busybox satori” o “/bin/busybox SATORI”.
La seconda variante aggiunge un packer, probabilmente per sfuggire all’identificazione statica. Nel frattempo, il malvivente aggiunge la password “aquario” nel dizionario delle password e usa sempre “aquario” per effettuare il login al primo tentativo. “aquario” è la password di default di un diffuso wireless router in America Latina e indica che l’hacker ha intenzionalmente iniziato a raccogliere bot in quella regione.
La terza variante si avvale di exploit per due vulnerabilità di esecuzione del codice remoto, compresa una zero-day (CVE-2017-17215).
Derivativo di Mirai
Poiché il codice sorgente di Mirai è aperto in Github, gli attaccanti potevano facilmente riutilizzare il codice Mirai per implementare il network scanner e i moduli di login password delle password per lanciare un attacco telnet o di altro genere.
La famiglia di malware Satori conferma che il malware IoT sta continuamente evolvendo dal semplice attacco password brute force a uno che sfrutta le vulnerabilità. Il codice aperto di Mirai offre agli attaccanti un buon punto di partenza per sviluppare nuove varianti.
Palo Alto Networks ha rilasciato la signature IPS (37896) per la vulnerabilità zero-day sfruttata da Satori.