GETOVERX FORUM Community Support
Botnet – Moobot (2020–2024) - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Botnets / Bots (https://forum.getoverx.com/forumdisplay.php?fid=22)
+--- Thread: Botnet – Moobot (2020–2024) (/showthread.php?tid=71)

Botnet – Moobot (2020–2024) - mrwebfeeder - 11-29-2025

Nombre: Moobot

Categoría: Botnet / IoT malware (variante de Mirai)

Periodo de actividad: 2020–2024

Comportamiento (lo que hace y qué infecta):
- Mirai variant infecting IoT via exploits:
- Basado en la familia Mirai, enfocado en:
- Dispositivos IoT (routers SOHO, cámaras IP, DVR/NVR, CPEs, etc.).
- Equipos con credenciales por defecto o vulnerabilidades conocidas.
- Escanea Internet y redes expuestas buscando:
- Puertos típicos de administración (Telnet, HTTP/HTTPS, SSH).
- Firmwares y paneles web con exploits publicados.
- Una vez compromete un dispositivo:
- Descarga binarios cross-compiled para distintas arquitecturas (ARM, MIPS, etc.).
- Se registra en un servidor de mando y control (C2).
- El dispositivo pasa a formar parte de una botnet.
- Uso de la botnet:
- Lanzar ataques de denegación de servicio distribuido (DDoS) contra objetivos definidos por los operadores.
- Posible participación en campañas de escaneo/ataques adicionales contra otros IoT.

Persistencia:
- Permanece activo mientras el dispositivo:
- No se reinicia o resetea a valores de fábrica (en algunas variantes).
- Sigue siendo vulnerable (siguen sin cambiarse credenciales por defecto y sin actualizar firmware).
- En algunos casos:
- Puede modificar scripts de arranque o configuraciones del sistema embebido para relanzar el binario al reiniciar, si el dispositivo lo permite.

Hash real de referencia (SHA-256):
Muestra pública asociada a Moobot:
Code:
bc36bbfb96c3edcdd2951fd98a02b14ec681b8a2760a48565b2e2afadc177a52

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Firewall block known IoT exploits:
    - Usar el firewall perimetral y/o el firewall de GetOverX Shield (en el host que hace de gateway/monitor) para:
    - Bloquear tráfico entrante hacia puertos de administración de IoT expuestos (Telnet, HTTP/HTTPS de administración, SSH) desde Internet.
    - Restringir que sólo segmentos de administración autorizados puedan acceder a interfaces de gestión de routers, cámaras, DVR/NVR, etc.
    - Aplicar reglas específicas:
    - Firmas/IDS o listas de bloqueo para patrones conocidos de exploits Mirai/Moobot.
    - Filtrado de peticiones HTTP/Telnet típicas de escaneo de credenciales por defecto.

  • EDR detects anomalous network floods:
    - Desde endpoints o servidores que monitoricen la red con GetOverX Shield:
    - Detectar picos anómalos de tráfico saliente UDP/TCP provenientes de:
    - Rango de IPs dedicado a IoT.
    - Segmentos donde residen routers, cámaras, DVR.
    - Correlacionar:
    - Incrementos súbitos de tráfico hacia un mismo destino o rango (DDoS).
    - Dispositivos que, normalmente, generan poco tráfico pero de repente saturan el ancho de banda.
    - Acciones recomendadas:
    - Marcar los dispositivos implicados como sospechosos de pertenecer a botnet.
    - Aislar o limitar la tasa de tráfico de esos hosts a nivel de firewall hasta que se revisen.

  • Quarantine cross-compiled binaries:
    - En los sistemas donde se descarguen o analicen imágenes/firmwares o herramientas para IoT:
    - Configurar el AV de GetOverX Shield para:
    - Identificar y poner en cuarentena binarios cross-compiled sospechosos (ARM/MIPS/etc.) asociados a Moobot/Mirai-like.
    - En entornos de análisis:
    - Usar Sandbox para ejecutar:
    - Binarios multi-arquitectura sospechosos.
    - Scripts que descargan ejecutables para distintos tipos de CPU IoT.
    - Bloquear la distribución interna si se observa comportamiento de escaneo y DDoS.

  • Medidas adicionales recomendadas:
    - Para todos los dispositivos IoT:
    - Cambiar inmediatamente credenciales por defecto.
    - Desactivar servicios de administración remota desde Internet.
    - Mantener firmware actualizado a la última versión disponible.
    - Segmentar la red:
    - Colocar IoT en VLANs o subredes aisladas del resto de la infraestructura.
    - Limitar severamente las rutas desde IoT hacia Internet y hacia otros segmentos internos.
    - Ante sospecha de compromiso:
    - Reiniciar y restaurar a valores de fábrica los dispositivos afectados.
    - Reconfigurar manualmente con:
    - Credenciales robustas.
    - Límites de acceso y actualizaciones de firmware.