El siguiente diagrama muestra las funcionalidades de Moose:<\/p>\n
El monitoreo que hicimos de la\u00a0botnet<\/em>\u00a0<\/strong>indica que esta amenaza se usa para\u00a0robar\u00a0cookies<\/em>\u00a0HTTP no cifradas<\/strong>\u00a0en sitios de redes sociales populares y para cometer fraudes, como por ejemplo usar una conexi\u00f3n SOCKS integrada en el\u00a0malware<\/em>\u00a0para contactarse con un servidor proxy y as\u00ed \u201cseguir\u201d cuentas o \u201cver\u201d videos de estas redes populares.<\/p>\n \u00c9ste es un ejemplo proveniente de una solicitud HTTP que atravesaba el\u00a0proxy<\/strong>\u00a0operado por elmalware<\/em>:<\/p>\n Cabe notar que el servidor actualiza la conexi\u00f3n a HTTPS de inmediato. Casi todo el tr\u00e1fico est\u00e1cifrado<\/strong>\u00a0con HTTPS, por lo que no podemos asegurar con precisi\u00f3n qu\u00e9 acciones realizaron los operadores.<\/p>\n Al monitorear durante un mes uno de los\u00a0hosts<\/em>\u00a0infectados, notamos que el\u00a0tr\u00e1fico se dirig\u00eda<\/strong>\u00a0a los siguientes sitios de redes sociales:<\/p>\n El dominio de la red social afectada aparece en el\u00a0campo \u201cSubject\u201d del certificado, en el protocolohandshake<\/em>\u00a0de\u00a0TLS<\/strong>\u00a0para el tr\u00e1fico seguro HTTPS.<\/p>\n Las siguientes son las\u00a0peticiones<\/strong>\u00a0que se env\u00edan a diario a sitios de redes sociales desde un solorouter<\/em>\u00a0infectado:<\/p>\n A continuaci\u00f3n se ilustra cu\u00e1les fueron las\u00a0redes sociales m\u00e1s afectadas<\/strong>\u00a0en dicho per\u00edodo:<\/p>\n Durante nuestro an\u00e1lisis, con frecuencia nos pregunt\u00e1bamos: \u00bfpara qu\u00e9 poner tanto esfuerzo en interactuar con las redes sociales? Pero, por supuesto,\u00a0existe un mercado para comprar seguidoresde Twitter, Me Gusta de Facebook, visualizaciones de YouTube, entre muchas otras cosas m\u00e1s. Los operadores de esta\u00a0botnet<\/em>\u00a0generan ganancias mediante los\u00a0fraudes<\/strong>\u00a0de redes sociales. Gracias a losrouters<\/em>\u00a0infectados, pueden\u00a0distribuir tr\u00e1fico malicioso<\/strong>\u00a0a trav\u00e9s de las redes sociales aprovechando la buena reputaci\u00f3n de las direcciones IP de proveedores de servicios de Internet (ISP) confiables.<\/p>\n Esta amenaza en particular tiene una capacidad fuera de lo com\u00fan para introducirse en las redes, al compararla con otros c\u00f3digos maliciosos que infectan\u00a0routers<\/em>. Adem\u00e1s, Moose es capaz desecuestrar DNS\u00a0y detiene los procesos de otras familias de\u00a0malware<\/em>\u00a0presentes en el dispositivo, que puedan competir por los\u00a0recursos limitados<\/strong>\u00a0que ofrece el sistema infectado. El informe completo suministra m\u00e1s detalles, incluyendo el protocolo de red utilizado para comunicarse con los servidores de\u00a0Comando y Control (C&C)<\/strong>.<\/p>\n Adem\u00e1s del whitepaper, tambi\u00e9n estamos publicando otros recursos para la comunidad. En primer lugar, decidimos divulgar el\u00a0c\u00f3digo completo<\/strong>\u00a0desarrollado para monitorear esta amenaza en nuestracuenta de Github para investigaci\u00f3n de malware<\/a>. No creemos que sea muy \u00fatil guardarnos los\u00a0scripts<\/em>solo para nosotros. Aunque este c\u00f3digo se cre\u00f3 en un laboratorio de investigaci\u00f3n y no est\u00e1 tan pulido como el c\u00f3digo final que incluimos en nuestros productos terminados, esperamos que les sirva a nuestros pares de la industria, a la comunidad de Linux y a los\u00a0futuros analistas de\u00a0malware<\/em><\/a>.<\/p>\n En segundo lugar, estamos buscando ayuda para\u00a0confirmar cu\u00e1les son los fabricantes de dispositivos y los modelos afectados.<\/strong>\u00a0Para ello, proporcionamos\u00a0instrucciones<\/a>\u00a0para que puedas confirmar si Linux\/Moose podr\u00eda llegar a infectar tus dispositivos. Mantendremos\u00a0esta lista de fabricantes afectados<\/a>\u00a0siempre actualizada.<\/p>\n Por \u00faltimo,\u00a0tambi\u00e9n est\u00e1n disponibles<\/a>\u00a0los\u00a0indicadores de sistemas comprometidos<\/strong>. Aqu\u00ed se incluyen todas las direcciones IP de C&C codificadas en forma r\u00edgida, la lista actual de direcciones IP de C&C din\u00e1micas, instrucciones sobre c\u00f3mo confirmar si un sistema en particular est\u00e1 infectado, loshashes<\/em>\u00a0de archivos maliciosos, y las reglas YARA.\u00a0Tambi\u00e9n damos instrucciones<\/a>\u00a0para el que desee verificar si un archivo arbitrario es un binario Linux\/Moose.<\/p>\n Reinicia el dispositivo afectado y luego cambia tu contrase\u00f1a lo antes posible. Sin embargo, recuerda que los operadores acced\u00edan al sistema infectado a trav\u00e9s de\u00a0credenciales<\/strong>\u00a0que eran de su conocimiento, que tambi\u00e9n sab\u00edan su direcci\u00f3n IP y que contaban con los medios para acceder a su consola interactiva.<\/p>\n Es posible que hayan accedido en forma manual, lo que significa que pueden volver a infectar el dispositivo y pueden\u00a0hacer modificaciones permanentes en el\u00a0firmware<\/em><\/a>\u00a0(el enlace est\u00e1 en alem\u00e1n). Lo mejor probablemente sea\u00a0restablecer la configuraci\u00f3n<\/strong>\u00a0del dispositivo a su versi\u00f3n de f\u00e1brica, actualizar o reinstalar el\u00a0firmware<\/em>\u00a0y cambiar la contrase\u00f1a.<\/p>\n Cambia las\u00a0contrase\u00f1as<\/strong>\u00a0predeterminadas en los equipos de red aunque no se pueda acceder a ellos desde Internet. Deshabilita el protocolo\u00a0Telnet<\/strong>\u00a0para inicio de sesi\u00f3n y utiliza SSH siempre que sea posible.<\/p>\n Aseg\u00farate de que no se pueda acceder a tu\u00a0router<\/em>\u00a0desde Internet en los puertos 22 (SSH), 23 (Telnet), 80 (HTTP) y 443 (HTTPS). Si no sabes c\u00f3mo hacerlo, cuando est\u00e9s en casa, usa laexploraci\u00f3n de puertos comunes<\/strong>\u00a0(\u201ccommon ports\u201d) en el\u00a0servicio ShieldsUP de GRC.com<\/a>. Verifica que los puertos mencionados arriba tengan el estado \u201cStealth\u201d (oculto) o \u201cClosed\u201d (cerrado).<\/p>\n![\"\"](\"http:\/\/www.welivesecurity.com\/wp-content\/uploads\/2015\/05\/funcionamiento_moose.jpg\")
\n<\/a><\/p>\n<\/p>\n<\/p>\n<\/p>\n\n
<\/p>\nC\u00f3digo desarrollado para la investigaci\u00f3n, indicadores de sistemas comprometidos y m\u00e1s<\/h2>\n
Desinfecci\u00f3n<\/h2>\n
Prevenci\u00f3n<\/h2>\n