Los dispositivos de redes, como por ejemplo un router, pueden sufrir muchos ataques. Son muchas las variedades de malware que de una u otra forma pueden comprometer la seguridad. En este artículo nos hacemos eco de ZHtrap. Se trata de un nuevo malware que tiene como misión convertir los equipos infectados en honeypots.
ZHtrap, el malware que convierte equipos infectados en honeypots
Esta amenaza ha sido detectada por un grupo de investigadores de seguridad de 360 Netlab. Se basa en el código fuente de Mirai y es compatible con x86, ARM, MIPS y otras arquitecturas de CPU. Se trata de una botnet que tiene como misión rastrear routers y otros dispositivos de red UPnP infectados y convertirlos en honeypots.
Cuando logra apoderarse de un dispositivo, evita que otro malware vuelva a infectar sus bots con la ayuda de una lista blanca que solo permite los procesos del sistema ya en ejecución y de esta forma bloquear todos los intentos de ejecutar nuevos comandos.
Los bots de ZHtrap utilizan un servidor de comando y control Tor para comunicarse con otros nodos de botnet y un proxy Tor para ocultar el tráfico malicioso. Dentro de las capacidades que tiene este software malicioso podemos mencionar la de llevar a cabo ataques DDoS y hacer un rastreo en busca de nuevos dispositivos vulnerables que pueda infectar.
Pero más allá de eso, ZHtrap también cuenta con una funcionalidad de puerta trasera que permite descargar y ejecutar cargas útiles maliciosas adicionales.
Se basa en vulnerabilidades de seguridad
Para propagarse por la red, ZHtrap se basa en exploits dirigidos a cuatro vulnerabilidades de seguridad en dispositivos Realtek SDK Miniigd UPnP SOAP, MVPower DVR, Netgear DGN1000 y una larga lista de dispositivos CCTV-DVR. Además busca dispositivos con contraseñas Telnet débiles de una lista de direcciones IP generadas aleatoriamente y recopiladas con la ayuda del honeypot que implementa en dispositivos que ya forman parte de esa botnet.
Ahora bien, la característica más interesante de ZHtrap es cómo convierte los dispositivos infectados en honeypots para recopilar direcciones IP de más objetivos que probablemente sean vulnerables y poder propagarse más o que incluso ya estén infectados por otro malware.
Una vez implementado, el honeypot de ZHtrap comienza a escuchar una lista de 23 puertos y envía todas las IP que se conectan a ellos a su módulo de escaneo como objetivos potenciales en sus ataques.
Según indican desde 360 Netlab, otras redes de bots que hemos analizado antes, la parte más interesante de ZHtrap es su capacidad para convertir dispositivos infectados en un honeypot. Pueden usar estos honeypots como una herramienta para capturar ataques, como la recopilación de exploraciones, exploits y muestras.
Cómo evitar ser víctima de ZHtrap y amenazas similares
Es importante estar protegidos para evitar ser víctimas del malware ZHtrap y cualquier otro similar que pudiera poner en riesgo nuestros equipos. Para ello es esencial tener los dispositivos actualizados. Hemos visto que se aprovechan de vulnerabilidades que encuentran en los equipos y así pueden llegar a atacarlos. Evitar ataques de botnet y similares debe ser nuestra prioridad al usar dispositivos de red.
Otro punto que hay que tener muy en cuenta es la importancia de crear contraseñas que sean fuertes y complejas. En el caso de ZHtrap, aunque puede ocurrir con otras amenazas similares, se aprovechan también de las claves débiles que hay en esos dispositivos. Siempre debemos crear contraseñas que cuenten con letras (mayúsculas y minúsculas), números y otros símbolos especiales. Todo ello de forma aleatoria.
En definitiva, debemos proteger en todo momento nuestros dispositivos para impedir la entrada de intrusos. Es algo que debemos de aplicar en todo momento, sin importar el tipo de sistemas operativos o equipos que tengamos.