Trickbot usa enrutadores MikroTik para ejecutar su comercio.  Ahora sabemos por qué

imágenes falsas

Durante años, los piratas informáticos maliciosos han estado pirateando grandes flotas de enrutadores MikroTik y reclutándolos en Trickbot, una de las redes de bots más destructivas de Internet. Ahora, Microsoft finalmente descubrió por qué y cómo se usan los enrutadores.

Trickbot salió a la luz en 2016 como un troyano para robar contraseñas de cuentas para fraude bancario. Desde entonces, Trickbot se ha convertido en una de las plataformas de amenazas más agresivas en la web gracias a su marco de malware de múltiples niveles altamente modular que proporciona un conjunto completo de herramientas que se utilizan para instalar ransomware y otras formas de malware de otros grupos de piratas informáticos.

El Trickbot que maneja malware se caracteriza por sus capacidades avanzadas. Se caracteriza por obtener poderosos privilegios administrativos, propagarse rápidamente de una computadora a otra en las redes y realizar un reconocimiento que identifica las computadoras infectadas que pertenecen a objetivos de alto valor. El malware a menudo usa software fácilmente disponible como Mimikatz o exploits como EternalBlue robado de la Agencia de Seguridad Nacional.

Ocultar C2

Los operadores de Trickbot, dijo Microsoft el miércoles, están comprometiendo los dispositivos MikroTik y utilizando esos dispositivos para ofuscar la ubicación de los servidores de comando y control que intercambian datos y comandos con computadoras infectadas. En lugar de que las computadoras infectadas se conecten directamente a los servidores de control, las computadoras se conectan a los enrutadores comprometidos, que actúan como intermediarios.

Cuando los analistas de seguridad monitorean las conexiones de las computadoras infectadas, los investigadores ven direcciones IP asociadas con enrutadores comprometidos en hogares y empresas. La ubicación de los propios servidores de control permanece oculta y no se puede determinar sin acceso al enrutador proxy. Aquí hay una descripción general:

trickbot proxy overview

microsoft

«El propósito de Trickbot con dispositivos MikroTik es establecer una línea de comunicación entre el dispositivo afectado por Trickbot y el servidor C2 que los sistemas de defensa de red estándar no pueden detectar», escribieron los investigadores de Microsoft. «Los atacantes comienzan por piratear un enrutador MikroTik».

Según Microsoft, una de las razones clave por las que Trickbot tiene tanta afinidad con MikroTik es el exclusivo RouterOS basado en Linux de MikroTik. Este sistema operativo permite a los usuarios reenviar comandos de forma remota utilizando el protocolo SSH o Secure Shell. La flexibilidad y el poder de los comandos hacen que los enrutadores MikroTik sean los servidores proxy ideales. Los operadores de Trickbot pueden enviar un solo comando que hace que una gran cantidad de dispositivos dirijan el tráfico de una manera específica que sea beneficiosa para la arquitectura de la botnet.

Los comandos precedidos por «/» incluyen elementos como /ip, /system y /tool. Por lo general, no funcionan en ventanas de shell regulares basadas en Linux. Por el contrario, las carcasas de MikroTik ofrecen a los operadores de Trickbot un menú de opciones útiles. Por ejemplo, un comando que Microsoft observó que enviaba Trickbot fue:

/ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses= dst-address=

Este comando crea una nueva regla, similar a iptables, que escucha en el puerto 449 desde las computadoras comprometidas. Luego, el comando redirige los datos a través del puerto 80 para controlar los servidores TrickBot.

«El comando mencionado es un comando NAT (traducción de direcciones de red) legítimo que permite que el enrutador NAT reescriba las direcciones IP», dijeron los investigadores de Microsoft. “En este caso, se utiliza para actividades maliciosas. Se sabe que Trickbot usa los puertos 443 y 449 y hemos podido verificar que algunos servidores de destino se identificaron como servidores TrickBot C2 en el pasado”.

Cómo obsesionarse, cómo mantenerse limpio

Trickbot utiliza múltiples métodos para comprometer los enrutadores. Estos métodos incluyen:

  • Explotación de dispositivos que aún usan contraseñas estándar de MikroTik
  • Realizar ataques de adivinación de contraseñas, posiblemente usando contraseñas recopiladas de otros dispositivos MikroTik
  • Explotación de CVE-2018-14847 en dispositivos que ejecutan versiones de RouterOS anteriores a la 6.42. Esta vulnerabilidad crítica le da al atacante la capacidad de leer archivos arbitrarios como user.dat que contienen contraseñas. La investigación del año pasado reveló que CVE-2018-14847 era una de las tres vulnerabilidades graves encontradas en 300 000 enrutadores MikroTik.

Una vez que los operadores toman el control de un dispositivo, cambian la contraseña para evitar que otra persona recupere el control de forma remota.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

dieciseis + 20 =