ClickCease Mirai NoaBot: Proteger los servidores de las amenazas de minería de criptomonedas

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Mirai NoaBot: Proteger los servidores de las amenazas de minería de criptomonedas

Wajahat Raja

22 de enero de 2024 - Equipo de expertos TuxCare

En los últimos avances en ciberseguridad, una nueva botnet basada en Mirai conocida como Mirai NoaBot ha surgido, suponiendo una amenaza significativa para los servidores Linux desde principios de 2023. Los datos telemétricos de Akamai, procedentes de honeypots, revelan un crecimiento constante de las infecciones NoaBot, con un pico de tamaño registrado justo el mes pasado.

Esta entrada del blog profundiza en los entresijos del advertencia de la FTC sobre el malware NoaBotarrojando luz sobre su origen, modus operandi y las medidas que pueden adoptar las organizaciones para proteger sus sistemas.

 

Desvelando las tácticas de Mirai NoaBot


Los investigadores de Akamai descubrieron que NoaBot se basa en ataques de diccionario de credenciales SSH para el movimiento lateral. Con más de
800 direcciones IP únicas que muestran signos de infección en todo el mundo, el 10% de estos casos se remontan a China. NoaBot aprovecha vulnerabilidades del servidor SSH a menudo pasadas por alto por las organizaciones: las simples credenciales SSH. En alerta de la FTC sobre ataques a servidores criptográficos pone de relieve el creciente panorama de amenazas en el espacio digital.


Evolución de Mirai a NoaBot


Mirai, inicialmente una red de bots DDoS en 2016, sentó las bases para posteriores redes de bots Linux autopropagables, con algunas centradas en
ataques DDoSotros en la minería de criptomonedas, y unos pocos en ambos. NoaBot, un derivado de Mirai, destaca por sus modificaciones, principalmente la sustitución del escáner Telnet por un escáner SSH.

Este cambio tiene sentido, ya que los servidores Linux, a diferencia de los dispositivos integrados, tienen más probabilidades de tener SSH activado. Por lo tanto, protegerse contra Mirai NoaBot es primordial para garantizar la seguridad de los servidores Linux ante la evolución de las ciberamenazas.


Características únicas de NoaBot


Los creadores de NoaBot introdujeron alteraciones significativas en el código fuente de Mirai, asegurando así una identidad distintiva. Cambiaron el compilador de GCC a uClib, con lo que su código binario es significativamente diferente del de Mirai. En particular, el escáner SSH de NoaBot deja una firma clara: tras una conexión SSH aceptada, el cliente de la botnet envía el mensaje poco convencional
"hola" que puede utilizarse para crear una firma de cortafuegos.


Mecanismos de persistencia y funcionalidad de puerta trasera


NoaBot introduce un mecanismo de persistencia llamado
"noa", que asegurando su presencia continuada incluso si la autenticación basada en contraseña está deshabilitada. Este mecanismo consiste en añadir una clave controlada por el atacante a las claves autorizadas por SSH. Además, el malware de minería de criptomonedas actúa como una puerta trasera, descargando binarios adicionales y creando una entrada crontab para garantizar que se inicie después de reiniciar el sistema.


Ataques a servidores de criptominería


NoaBot incorpora XMRig, un programa de minería de criptomonedas de código abierto ampliamente utilizado. Sin embargo, los creadores de NoaBot han realizado modificaciones avanzadas en XMRig, ocultando y cifrando su configuración, especialmente la dirección IP del pool de minería. En particular, los investigadores especulan que los autores de la amenaza gestionan un pool privado, eliminando la necesidad de especificar una cartera y manteniendo así el control sobre la criptomoneda recolectada.


Conexión P2PInfect


Los investigadores de Akamai han identificado una posible conexión entre los creadores de NoaBot y una versión personalizada de
P2PInfectun gusano autorreplicante escrito en Rust. P2PInfect se dirige a servidores Redis, aprovechando una vulnerabilidad de Lua.

Aunque sigue sin estar claro por qué los actores de la amenaza cambiaron de Mirai a P2PInfect, los investigadores sugieren que el uso de código personalizado puede indicar un deseo de mayor dificultad en la ingeniería inversa.

 

Protocolos de protección de Mirai NoaBot

 

La ciberseguridad de los servidores SSH es un aspecto crítico para salvaguardar los datos confidenciales y mantener la integridad de la red. El equipo de Akamai ha compartido de forma proactiva una lista de indicadores de compromiso en su repositorio de GitHub, junto con firmas de detección YARA adaptadas para identificar binarios NoaBot.

Además de utilizar estos recursos, se recomienda encarecidamente a las organizaciones que adopten prácticas estándar de refuerzo de SSH. Esto incluye restringir el acceso SSH a direcciones IP de confianza e implementar la autenticación basada en claves, que son medidas eficaces contra los ataques de diccionario.


Conclusión


El panorama de la ciberseguridad sigue evolucionando,
las ciberamenazas Mirai NoaBot ponen de relieve la importancia de adoptar medidas de defensa proactivas. Al comprender las tácticas empleadas por estas redes de bots y adoptar las mejores prácticas, las organizaciones pueden fortalecer sus sistemas contra el acceso no autorizado, las violaciones de datos y las posibles interrupciones. La vigilancia, la supervisión continua y el cumplimiento de los protocolos de seguridad son primordiales para protegerse contra los riesgos de seguridad de los dispositivos IoT, en constante evolución. riesgos de seguridad de los dispositivos IoT.

Las organizaciones deben mantenerse informadas sobre actividades maliciosas en la minería de criptomonedas y aprovechar los recursos disponibles para su detección y prevención. Además, también deben considerar soluciones de parcheo automatizadas para minimizar el tiempo de inactividad y garantizar protocolos de seguridad sólidos.

Las fuentes de este artículo incluyen artículos en The Hacker News y CSO.

 

Resumen
Mirai NoaBot: Proteger los servidores de las amenazas de minería de criptomonedas
Nombre del artículo
Mirai NoaBot: Proteger los servidores de las amenazas de minería de criptomonedas
Descripción
Descubra lo último sobre Mirai NoaBot dirigido a servidores SSH. Aprenda a proteger sus sistemas contra las amenazas de minería de criptomonedas. ¡Manténgase protegido ahora!
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín