Global Preloader
Noticia Internacional
(05/Jun/2018) Operadores de una Botnet utilizan credenciales predeterminadas en servidores C&C

Operadores de una Botnet utilizan credenciales predeterminadas en servidores C&C

Los objetivos de las botnets por lo regular son dispositivos de IoT que están conectadas con credenciales por defecto, pero esta vez los investigadores de NewSky descubrieron que los operadores de un servidor command and control utilizan este tipo de credenciales en sus bases de datos.

Mirai es un malware que fue diseñado para atacar dispositivos mal configurados y generar ataques DDoS, pero desde que su código fuente fue publicado en 2016 por internet, han surgido muchas variantes entre ellas Owari. Lo que la mayoría de estas variantes hereda es el uso de un servidor de base de datos MySQL para C&C, como se esperaría Owari también hace uso de esta base de datos pero así como sus objetivos, no cambiaron la configuración por defecto.

Los investigadores de NewSky se encontraron con un servidor de Owari con el puerto 3306 abierto, utilizado por defecto para las bases de datos MySQL. Dicha aplicación utiliza las credenciales root:root como nombre de usuario y una contraseña con números par, para ingresar a la base de datos, además de tener permitido el acceso de lectura y escritura para todos los usuarios.

Dicha base de datos tiene tres tablas, y entre esas tablas, está la de usuarios que contiene credenciales de inicio de sesión de los creadores de malware y de clientes, así como límites de duración del ataque, el número máximo de bots disponibles y tiempo de espera entre los comandos.

Aunque los investigadores tenían permiso de lectura y escritura a las bases de datos, la botnet no se podía interrumpir porque los servidores C&C relacionados con las direcciones IP descubiertas tienen vida corta ya que se relacionan rápidamente con actividades maliciosas.