Gusano Morto

Morto es un malware tipo gusano que ataca sistemas Windows.  Fue detectado en el año  2011  y aún se mantiene activo.

El malware puede ser descargado por otros códigos malignos o bajarse directamente desde sitios maliciosos en  Internet, y se propaga en la red utilizando el Protocolo de Escritorio Remoto (RDP)[i] de Microsoft

Está compuesto por un instalador y una biblioteca de enlace dinámico (dll) que descarga y ejecuta la carga útil.

Las computadoras que ya han sido afectadas por este gusano realizan escaneos para detectar e infestar nuevas víctimas, por lo general computadoras que tienen implementadas contraseñas débiles en el protocolo RDP. Para que se produzca la propagación, las victimas deben ser accesibles en la red por el puerto 3389 que es el utilizado por este protocolo.

Una vez que el gusano logra autenticarse, utilizando bibliotecas con contraseñas comunes y por fuerza bruta,  adquiere privilegios de  administración y se conecta con sus Centros de Mando y Control para descargar instrucciones, código malicioso  y actualizaciones.

A través de este mecanismo el malware es utilizado para crear redes botnet que pueden ser controladas para realizar ataques de denegación de servicio a terceros.

La protección se logra aplicando medidas de seguridad reconocidas como buenas prácticas, en específico:

  • Revisar, si existen, las conexiones que utilizan el Protocolo de Escritorio Remoto.
  • Implementar segmentación de la red, así como reglas de filtrado para este protocolo permitiendo solo las conexiones desde las máquinas autorizadas. En particular, filtrar este protocolo en la frontera  con Internet y valorar la implementación de una red VLAN para el trabajo de los administradores que son los que habitualmente utilizan RDP.
  • Cambiar y fortalecer las credenciales de acceso, en particular configurar políticas de seguridad que obliguen al uso de contraseñas fuertes, y establecer periodos de vencimiento y renovación de contraseñas.
  • Auditar los intentos de autenticación fallidos.

Morto es detectado por Segurmática y otros programas antivirus. En redes cubanas se ha detectado actividad de este malware, por lo que se recomienda a los administradores que garanticen las  medidas anteriores y  verifiquen que el tráfico por el puerto 3389 se corresponde con el uso previsto en la red.

Referencias:

https://blog.qualys.com/securitylabs/2011/11/11/morto-architecture-review

https://quequero.org/2011/09/morto-malware-analysis/


[i] El Protocolo de Escritorio Remoto (Remote Desktop Protocol, RDP) es un protocolo propietario de Microsoft que utiliza el puerto 3389 y permite acceder a un escritorio de forma remota, conformando un entorno cliente-servidor. El acceso remoto se materializa tomando la información del escritorio de la computadora que hace función de servidor y enviándola mediante RDP a la computadora que hace función de cliente. Este protocolo es muy utilizado por los administradores de redes Windows.

Español