Gafgyt (también conocido como Bashlite) es una botnet que se descubrió por primera vez en 2014 . Se dirige a dispositivos vulnerables de Internet de las cosas (IoT) como enrutadores Huawei, enrutadores Realtek y dispositivos ASUS, que luego utiliza para lanzar ataques distribuidos de denegación de servicio (DDoS) a gran escala. También suele utilizar vulnerabilidades conocidas como CVE-2017-17215 y CVE-2018-10561 para descargar cargas útiles de la siguiente etapa en dispositivos infectados.
Las redes de bots de IoT como Gafgyt están en constante evolución. Por ejemplo, los investigadores en marzo descubrieron lo que dijeron es la primera variante de la familia de botnets Gafgyt que oculta su actividad usando la red Tor.
Las últimas variantes ahora han incorporado varios módulos basados en Mirai, según una investigación de Uptycs publicada, junto con nuevos exploits. Las variantes de Mirai y su reutilización de código se han vuelto más voluminosas desde que se lanzó el código fuente de la botnet de IoT en octubre de 2016.
Las capacidades extraídas de Mirai incluyen varios métodos para llevar a cabo ataques DDoS, según la investigación:
- Inundación HTTP, en la que la botnet envía una gran cantidad de solicitudes HTTP a un servidor de destino para abrumarlo;
- Inundación UDP, donde la botnet envía varios paquetes UDP a un servidor víctima como un medio para agotarlo;
- Varios ataques de inundación de TCP, que aprovechan un protocolo de enlace TCP de tres vías normal, el servidor de la víctima recibe una gran cantidad de solicitudes, lo que hace que el servidor deje de responder;
- Y un módulo STD, que envía una cadena aleatoria (desde una matriz de cadenas codificada) a una dirección IP en particular.
Comparación de código para el módulo HTTP DDoS entre Gafgyt y Mirai. Click para agrandar. Fuente: Uptycs.
Mientras tanto, las últimas versiones de Gafgyt contienen nuevos enfoques para lograr el compromiso inicial de los dispositivos de IoT, descubrió Uptycs; Este es el primer paso para convertir los dispositivos infectados en bots para luego realizar ataques DDoS en direcciones IP específicas. Estos incluyen un módulo copiado de Mirai para la fuerza bruta de Telnet y exploits adicionales para las vulnerabilidades existentes en los dispositivos Huawei, Realtek y GPON.
El exploit de Huawei ( CVE-2017-17215 ) y el exploit de Realtek ( CVE-2014-8361 ) se utilizan para la ejecución remota de código (RCE), para obtener y descargar la carga útil de Gafgyt, según el análisis.
“El binario de malware Gafgyt incorpora exploits RCE para enrutadores Huawei y Realtek, mediante los cuales el binario de malware, utilizando el comando ‘wget’, recupera la carga útil”, según Uptycs. “[Da] permiso de ejecución para la carga útil mediante el comando ‘chmod’, [y] ejecuta la carga útil”.
El exploit GPON ( CVE-2018-10561 ) se utiliza para omitir la autenticación en enrutadores Dasan GPON vulnerables; aquí, el binario de malware sigue el mismo proceso, pero también puede eliminar la carga útil en el comando.
Las direcciones IP utilizadas para obtener las cargas útiles eran generalmente los directorios abiertos donde el atacante alojaba las cargas útiles maliciosas para diferentes arquitecturas.