El grupo de investigadores de seguridad de 360 NetLab ha
descubierto un nuevo malware nombrado ZHtrap. Este malware está basado en el
código fuente de Mirai, y que se encarga de convertir en Honeypots dispositivos
de red UPnP infectados los cuales ha rastreado con anterioridad.
Una vez ha infectado un dispositivo y añadido a su botnet,
utilizada una lista blanca que solo permite la ejecución de procesos del
sistema bloqueando de esta forma cualquier nuevo comando que se intente ejecutar,
de esta forma consigue que nuevos malwares puedan infectar los bots infectados por
ZHtrap.
Entre los bots que han sido infectados por ZHtrap se
comunican utilizando un servidor de comando y control (C&C) TOR, además, para
ocultar el tráfico malicioso utilizan un proxy Tor. Este malware tiene como
capacidades llevar a cabo ataques DDoS, al igual que la mayoría de botnets, y
realizar rastreos de nuevos dispositivos vulnerables que puedan ser infectados
para ser añadidos a la botnet.
Otra de las funcionalidades que le diferencia del resto de
botnets es la creación de una puerta trasera en el dispositivo infectado que
permite descargar y ejecutar cargas útiles maliciosas adicionales.
Una de las características principales de ZHtrap es la
manera que utiliza los honeypots para recopilar direcciones IP de más objetivos
que puedan llegar a ser vulnerables y de esta forma propagarse a esos, incluso
si estos ya están infectados por otro malware.
Una vez un dispositivo ha sido convertido en un honeypot, este
se utiliza para escuchar una lista de 23 puertos diferentes, recopilando las IP
que se conecten a través de estos puertos para enviarlas al módulo de escaneo
de ZHtrap como objetivos potenciales para sus ataques.
Los investigadores de 360 Netlab, han indicado que las
partes más interesantes de este malware reside en la capacidad para convertir
dispositivos infectados en honeypots. Utilizando estos honeypots como una herramienta
para capturar ataques, como la recopilación de exploraciones, exploits y
muestras.