Dark Nexus, botnet IoT utilizada para efectuar ataques DDoS.

Recientes descubrimientos de la empresa BitDefender encontraron una nueva botnet llamada Dark Nexus. Está botnet está conformada por dispositivos IoT y tiene unas particulares características y es muy superior a cualquier red de bots conocida al día de hoy, a continuación algunas de las características:

  1. Logra soportar hasta 12 diferentes tipos de arquitecturas de CPUs
  2. Implementa SOCKS5 permitiendo la tunelización del tráfico malicioso
  3. Desarrolla ataques DDoS personalizables

Dark Nexus utiliza parte del código de Mirai y Qbot, pero la botnet presenta cambios que logran que sea mucho más peligrosa que sus predecesoras.

La botnet cuenta con aproximadamente 1.400 dispositivos infectados desde que se descubrió abarcando países como China, Tailandia,Corea del Sur, Rusia o Brasil.

La infraestructura está basada en servidores de control, estos envían comandos a los dispositivos ya infectados y los servidores de recepción son los que reciben informes de las acciones tomadas de los dispositivos infectados.

Al momento en que la botnet descubre un dispositivo vulnerable, este se registra en un servidor de control, después se indica cuál es su arquitectura y finalmente  incluir los scripts adecuados para su ejecución.

Después de activarse el dispositivo “zombie”, Dark Nexus abre un puerto estático, comúnmente el 7630, para de esta manera asegurar una única ejecución del programa. Para ocultarse en el sistema, este modifica su nombre de proceso por el de busybox, proceso que está presente en la mayoría de dispositivos IoT y routers, además deshabilita los comandos de apagado y reinicio, así como detener el servicio cron para evitar la programación de tareas.

Su propagación se realiza a través de fuerza bruta, está dirigido el ataque exclusivamente al protocolo Telnet a través de un diccionario de contraseñas que no excede de 50 credenciales, muchas de estas contraseñas son las que vienen por defecto en la mayoría de dispositivos como:   | root/root | default/default | admin/12345 |.

Con las pruebas obtenidas por BitDefender y comparando el código de esta botnet con el de otras, parece indicar que el autor de Dark Nexus podría ser el griego Helios A.K.A greek.helios, un desarrollador que vende servicios DDoS a través de redes sociales.

La manera de contrarrestar el ataque de esta botnet es bastante sencillo. Ya que sus ataques se basan en fuerza bruta que aprovechan credenciales de fábrica, el mejor consejo para evitar sus ataques es cambiar las credenciales de acceso de los dispositivos antes de ponerlos a funcionar.


¿Quieres aprender a programar de manera profesional?

 

Te invitamos a formar parte de Azul School donde vas a tener acceso a cursos profesionales con certificado. Además tienes acceso a una red social de programadores donde puedes conocer gente de tu ciudad o país.

 

Si quieres acceder a todas las funciones te regalamos un descuento del 75% usando este cupón (no vas a encontrar este descuento en ningún otro lugar) Cupón: azulweb y lo puedes cambiar aquí: Haz clic aquí para cambiar el cupón del 75%.

 

También puedes probar la plataforma de forma gratuita y obtener un curso gratuito aquí: Haz clic aquí para probar la plataforma de forma gratuita.


También te podría gustar...