Post201 nn

Introducción

 

Hoy en la era digital todos los negocios quieren tener presencia en internet, datos estadísticos muestran que cada vez más personas se conectan a la red de redes hasta ahora son 4,192,872,928 conexiones, debido a esto cada vez son más los dispositivos que se conectan a la red de redes, servidores, servicios web entre otros. Así mismo recurren a prácticas o instalación de aplicaciones que no cumplen con normas o estándares de seguridad como lo son las normas ISO/IEC 270001, o no aplican los controles de configuración seguros, dejando contraseñas por defectos en muchas de ellas, lo cual puede repercutir en un futuro, en este artículo se habla sobre Xwo un tipo de rasonware capaz de aprovecharse de estas configuraciones ineficientes y obtener las credenciales así como también una lista de los dispositivos con sus direcciones físicas y lógicas mas los servicios que se están ejecutando.

 

¿Qué es Xwo?


Es un escáner bot basado en Python que esta buscando activamente servicios web expuesto y contraseñas predeterminadas, Xwo obtiene su nombre del módulo primario “Xwo”, según investigadores especializados de alienvault guarda estrecha relación con familias de malware que ya han sido identificadas y reportadas como lo son XBASH y MONGOLOCK.


Mongolock es un rasonware que borra los servidores de MongoDB y exige un pago de rescate a los atacantes a fin de que se pueda recuperar la base de datos comprometida. Tanto Xwo como MongoLock utilizan nombres de dominio similares a códigos, comando y control (“C2”) basados en Python y tienen una superposición en la infraestructura C2.


No existe una información exacta de como Xwo comenzó a distribuirse, sin embargo, se ha determinado que imita los sitios web de las empresas y noticias de ciberseguridad, Xwo es capaz de registrar dichos dominios bajo la ruta .tk lo que significa Tokelau, Nueva Zelanda.

 

Xwo escanea la web en busca de credenciales predeterminadas usando MySQl, MongoDB, Postgre SQL, etc. La credencial predeterminada para Tomcat, también fue reportada como insegura, y se detectó que el rasomware envía las credenciales escaneadas al centro de comando a través de una solicitud HTTP por método POST. Se realizó una muestra a través de PyInstaller y el código original de Python se puede recuperar fácilmente usando Python_exe_unpacker  y uncompyle6. La secuencia de comandos de Python de Xwo contiene el código copiado de Xbash como se muestra en la siguiente figura.

 

 

       

Código Xwo (izquierda), Código Xbash (derecha)

fuente: https://alienvault.com

 

Comando y Control de Xwo:


Luego de ejecutarse Xwo se realiza una solicitud HTTP POST con un User-Agent aleatorio de una lista de opciones codificada, y luego recibe instrucciones del dominio C2 con un rango de red pública codificada para escanear.

 

Escaneo y Difusión:


Xwo escanea el rango de red proporcionado por el servidor de comando y control. Luego se activan las fases de recolección de la información sobre los servicios disponibles, la información recopilada incluye uso de credenciales predeterminadas para FTP, MySQL, PostgreSQL, MongoDB, Redis, Memcached.
Credenciales predeterminadas de Tomcat y configuraciones erróneas para:

 

  • SVN predeterminado y rutas Git
  • Git repositoryformatversion contenido.
  • Detalles de PhpMyAdmin
  • Www copia de seguridad de rutas
  • RealVNC Enterprise Direct Connect
  • Accesibilidad RSYNC

 

Ejemplo de hallazgo resultante del escaneo que se reporta.

 

En Backtrack Academy queremos alertar a la comunidad digital y en especial a los administradores de servidores, administradores de sitios web, analistas de seguridad y/o propietarios de redes a evitar el uso de credenciales predeterminadas así como también garantizar que los servicios públicos estén restringidos, hasta ahora Xwo no asume mayor amenaza ya que no se han realizado explotaciones con este recurso, sin embargo se cree que toda la recolección de datos sea realizada para realizar una explotación de vulnerabilidad de día 0.

Reemplacé las contraseñas por defecto de todas sus aplicaciones y servidores, realicé actualizaciones periódicas y evalué las vulnerabilidades de TI, a fin de mitigar posibles amenazas en su entorno de TI.



 



Artículos que te pueden interesar