by ffclavis
Bookmark

Mirai Botnet – Visão geral de suas Ameaças e Mitigações

Criado por Josiah White, Paras Jha e Dalton Norman, a botnet Mirai foi inicialmente escrito em C para os bots e Go para os controladores, com o objetivo inicial de derrubar servidores Minecraft rivais usando ataques distribuídos de negação de serviço (DDoS). A botnet Mirai logo se espalhou para infectar milhares de dispositivos da Internet das coisas (IoT) e evoluiu para conduzir ataques completos em grande escala. Depois de notar um aumento nas infecções, Mirai chamou a atenção da organização sem fins lucrativos MalwareMustDie em agosto de 2016, que então começou a pesquisar, analisar e rastrear esta rede.

Criado por Josiah White, Paras Jha e Dalton Norman, a botnet Mirai foi inicialmente escrito em C para os bots e Go para os controladores, com o objetivo inicial de derrubar servidores Minecraft rivais usando ataques distribuídos de negação de serviço (DDoS). A botnet Mirai logo se espalhou para infectar milhares de dispositivos da Internet das coisas (IoT) e evoluiu para conduzir ataques completos em grande escala. Depois de notar um aumento nas infecções, Mirai chamou a atenção da organização sem fins lucrativos MalwareMustDie em agosto de 2016, que então começou a pesquisar, analisar e rastrear esta rede.

Ataques DDoS prejudiciais

O primeiro ataque em grande escala de Mirai foi em setembro de 2016 contra uma empresa de tecnologia francesa, OVH. O ataque de Mirai atingiu um pico sem precedentes de 1Tbps e estima-se que cerca de 145.000 dispositivos foram usados ​​no ataque. Esse ataque definiu quão massiva a escala dessa botnet se tornou, com o segundo maior ataque atingindo o pico em torno de 400 Gbps. Após o ataque à OVH, Krebs on Security, criado pelo jornalista Brian Krebs, foi inundado com mais de 600 GB de dados no final de setembro de 2016. Krebs foi provavelmente escolhido como alvo devido à sua linha de jornalismo investigativo em crimes cibernéticos e foi visto como uma potencial ameaça aos autores.

Em 30 de setembro de 2017, um dos autores da botnet decidiu lançar o código-fonte em um fórum de atacantes popular, ao mesmo tempo em que anunciava sua suposta saída do ramo. Existem vários motivos possíveis pelos quais o autor decidiu descartar e disseminar o código, sendo o mais provável para ofuscar sua identidade e evitar ser acusado pelos crimes cometidos. Logo após o lançamento do código-fonte, outros começaram a usar Mirai para seus próprios fins maliciosos e seus ataques não podiam mais ser vinculados a um único usuário ou grupo como se fazia anteriormente. Além de as atribuições se tornarem mais difíceis de realizar, a liberação do código também permitiu que os agentes de ameaças aumentassem o número de ataques DDoS conduzidos.

Desde então, outros autores adicionaram componentes novos e mais destrutivos, como módulos que permitem um aumento no número de infecções ou um que aumenta a velocidade com que infecta uma rede. Além disso, novas variantes do Mirai foram criadas para incluir: Okiru, Satori, Masuta e PureMasuta. Essas variantes adicionaram mais funcionalidades, como a capacidade de atacar computadores, bem como dispositivos IoT para aumentar a saída de dados. O sucesso dessa botnet e de suas variantes depende da fraca segurança dos produtos e tecnologia IoT. Dispositivos IoT construídos para conveniência e conectividade, em vez de segurança, complicam os esforços de mitigação para a família de malwares Mirai.

Detalhes Técnicos da botnet Mirai

Mirai começa como um worm autopropagado (T0866), que se replica assim que infecta e localiza outro dispositivo IoT vulnerável. A propagação é realizada por meio do uso de dispositivos IoT infectados para varrer a Internet para encontrar alvos vulneráveis ​​adicionais (T0883). Se um dispositivo vulnerável for encontrado, o dispositivo já infectado relatará suas descobertas a um servidor. Uma vez que o servidor tem sua lista desses dispositivos vulneráveis, o servidor carrega uma carga útil (payload) e infecta os alvos. Botnets, como a Mirai, se concentram em infectar o máximo de dispositivos possível, o que é ainda mais facilitado pela falta de segurança nos dispositivos IoT.

Inicialmente, Mirai tenta comprometer esses dispositivos com ataques de força bruta usando 64 conjuntos de nomes de usuário e senhas comuns e padronizadas (T0812) como “admin” e “password”; no entanto, os módulos e variantes atuais usam vulnerabilidades atualizadas para maximizar a eficiência. Isso pode ser visto em variantes mais recentes da botnet, como “IoT.Linux.MIRAI.VWISI” encontrada em julho de 2020 e como ele usa CVE-2020-10173 para explorar roteadores Comtrend VR-3033. Ainda mais recentemente, o Alien Labs da AT&T identificou uma variante chamada “Moobot“, aumentando drasticamente suas varreduras de roteadores Tenda que podem ser explorados com uma vulnerabilidade de execução remota de código conhecida (T1210), CVE-2020-10987. Esta variante recente também permitiu aos pesquisadores rastrear o malware até seu domínio de hospedagem denominado “Cyberium” e notou que outras variantes do Mirai residem aqui também.

A distribuição global desses dispositivos IoT é peculiar, devido ao número desproporcional de dispositivos infectados vindos da América do Sul e da Ásia. Durante o ataque a Krebs, ele conseguiu reunir a localização dos dispositivos de ataque e percebeu uma irregularidade. No número total de dispositivos usados, 31,2% dos dispositivos vieram da América do Sul e 36,8% (contando com a Rússia com 4,7%) de toda a Ásia.

Uma vez infectado e configurado, o dispositivo IoT pode ser controlado a partir de servidores de comando e controle (C2) (TA0011). Depois de acumular milhares de dispositivos infectados, esses servidores C2 dizem aos dispositivos o que atacar. Os servidores C2 são capazes de utilizar várias técnicas de DDoS (T1498), como HTTP, TCP e inundação de UDP (T1498.001).

Mitigações da Mirai botnet

O Center for Internet Security (CIS) e a Cybersecurity and Infrastructure Security Agency (CISA) recomendam que as organizações sigam as atenuações abaixo para limitar os danos causados ​​por um ataque potencial:

  • • Segmente sua rede – certifique-se de que todos os dispositivos IoT estejam em uma rede separada dos sistemas críticos para as operações diárias.
  • • Atualize seus dispositivos IoT – Sempre mantenha os dispositivos IoT atualizados para garantir que haja menos chance de infecção.
  • • Use e mantenha um software antivírus – o software antivírus reconhece e protege seu computador contra a maioria dos vírus conhecidos. É importante manter seu software antivírus atualizado.
  • • Tenha uma política de senha regulamentada – Suas senhas originais podem ter sido comprometidas. Durante uma infecção, portanto, você deve trocá-las o mais rápido possível.
  • • Mantenha os sistemas operacionais e o software de aplicativos atualizados – Instale patches de software para que os invasores não possam tirar proveito das vulnerabilidades conhecidas. Muitos sistemas operacionais oferecem atualizações automáticas. Se esta opção estiver disponível, você deve habilitá-la.
  • • Use ferramentas anti-malwareUsar um programa legítimo que identifica e remove malware pode ajudar a eliminar uma infecção.

Fonte: www.cissecurity.org

Posts relacionados: Como o uso de logins e senhas padrão facilitou a criação de uma botnet de dispositivos IoT / Novo malware se esconde entre as exclusões do Windows Defender para evitar detecção e Nova violação de IoT, mesma história de (in)segurança, amplas consequências