Mirai: o amenințare de tip botnet utilizată recent pentru derularea celor mai însemnate atacuri DDoS din istorie

2016/11/09
Popularitate 1181

Mirai este denumirea unui malware (software malițios) care vizează compromiterea dispozitivelor de tip IoT (Internet of Things) ce rulează sisteme de operare Linux, transformându-le în sisteme controlate de la distanță, parte a unor rețele de tip botnet. Între dispozitivele vizate de această amenințare se regăsesc camere web de supraveghere, sisteme digitale de înregistrare video (DVR), routere WiFi și alte tipuri de dispozitive casnice conectate la Internet.

Până în prezent, botnetul Mirai a fost utilizat pentru derularea de atacuri de tip DDoS (Distributed Denial of Service) la scară largă și cu impact ridicat, cele mai cunoscute fiind cele împotriva siteului web deținut de jurnalistul Brian Krebs – www.krebsonsecurity.com (620 Gbps), împotriva companiei olandeze de găzduire web OVH (1,1 Tbps) și împotriva furnizorului de servicii DNS Dyn (1,2 Tbps).

Descriere

Principala vulnerabilitate a dispozitivelor Iot, exploatată de botnetul Mirai, constă în faptul că interfețele de administrare ale acestora sunt accesibile din Internet și nu sunt securizate corespunzător, utilizând configurările și credențialele implicite.

Mirai se propagă prin scanarea spațiului de adrese IP pentru identificarea adreselor IP utilizate de dispozitivele IoT și forțarea autentificării la acestea (bruteforce) prin protocolul Telnet, utilizând o listă de credențiale implicite cunoscute (precum admin:admin). Infecția este determinată de autentificarea cu succes la serverul Telnet disponibil pe dispozitiv și execuția unei instrucțiuni specifice busybox (executabil ce împachetează o colecție de comenzi Unix cu un număr redus de parametri), care instalează pe dispozitiv un modul software specific. Imediat după instalare, modulul software nou instalat încearcă închiderea și blocarea tuturor proceselor ce folosesc porturile 22, 23 și 80, pentru a preveni accesarea dispozitivului de către utilizatorul legitim sau alte programe malware.

Impact

Numărul dispozitivelor infectate de Mirai nu este încă clar, unele surse susținând că ar fi de peste un milion. Conform informațiilor apărute în spațiul public, în atacul asupra infrastructurii OVH au fost implicate aproximativ 120.000 de adrese IP distincte în decursul a 24 de ore. Atacul DDoS înregistrat în data de 21 octombrie 2016 asupra companiei Dyn este considerat ca fiind cel mai puternic din istorie, infrastructura fiind inundată cu aproximativ 1,2 Tbps.

Comunitatea internațională a experților în domeniul securității cibernetice trage un semnal puternic de alarmă,  avertizând asupra posibilității intensificării frecvenței și dimensiunilor atacurilor DDoS în viitorul apropiat, atacatorii vizând exploatarea unor noi vulnerabilități ale dispozitivele IoT și creșterea semnificativă a dimensiunilor rețelelor botnet controlate.

Codul sursă al malwareului Mirai a fost publicat recent pe diferite forumuri de hacking și deja a fost preluat de diferite alte variante de malware. În plus, există posibilitatea ca dispozitivele din botnetul Mirai să fie utilizate și pentru derularea altor tipuri de atacuri, ca servere proxy spre exemplu.

Remediere

Atacurile DDoS sunt în general imposibil de evitat, mai ales în cazul celor de magnitudine semnificativă, precum cele asociate cu botnetul Mirai. Astfel, cei vizați de astfel de atacuri pot încerca atenuarea acestora cu suport din partea furnizorului de Internet și/sau prin utilizarea unor tehnologii anti-DDoS destul de costisitoare (în funcție de magnitudinea atacului), însă niciun mecanism și nicio tehnologie nu garantează oprirea unui astfel de atac.

Utilizatorii de dispozitive IoT conectate la Internet pot întreprinde o serie de măsuri în vederea prevenirii compromiterii acestora, CERT-RO recomandând următoarele:

1. Actualizarea permaentă a softwareului (firmware) de pe dispozitive.

2. Schimbarea credențialelor implicite (nume de utilizator, parolă) pentru accesarea și administrarea dispozitivelor

3. Utilizarea facilităților de securitate ale dispozitivelor (ex. prevenirea atacurilor de tip buteforce prin opțiunea de blocare a încercărilor repetate și nereușite de autentificare, activarea modulului firewall etc.);

4. Dezactivarea facilităților/serviciilor care nu sunt necesare, precum Telent, SSH, sau HTTP;

5. Restricționarea accesului de la distanță (prin Internet) la interfețele de administrare și configurare a dispozitivelor. În cazul în care este absolut necesară administrarea dispozitivului de la distanță, recomandăm utilizarea facilităților de tip firewall ale dispozitivelor (acolo unde există), sau utilizarea unui firewall extern, pentru permiterea accesului la interfețele de administrare doar de la anumite adrese IP;

6. Monitorizarea permanentă, sau cel puțin periodică, a traficului de rețea generat de aceste dispozitive și a traficului dinspre Internet către acestea, în vederea identificării unor eventuale anomalii.

CERT-RO recomandă utilizatorilor de dispozitive IoT conectate la Internet utilizarea uneltei „Mirai Vulnerability Scanner”, oferită de compania Imperva, pentru scanarea propriei rețele, în vederea identificării dispozitivelor/sistemelor vulnerabile la atacurile asociate cu malwareul Mirai:
https://www.incapsula.com/mirai-scanner.html

Surse și link-uri utile:

[1]. https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html;

[2]. http://www.theverge.com/2016/10/21/13362354/dyn-dns-ddos-attack-cause-outage-status-explained;

[3]. http://www.itworld.com/article/3132570/hackers-create-more-iot-botnets-with-mirai-source-code.html;

[4]. https://krebsonsecurity.com/2016/10/hacked-cameras-dvrs-powered-todays-massive-internet-outage/;

[5]. https://www.malwaretech.com/2016/10/mapping-mirai-a-botnet-case-study.html;

[6]. https://eugene.kaspersky.com/2016/10/28/the-internet-of-harmful-things/;

[7]. http://arstechnica.com/security/2016/10/that-botnet-of-things-malware-is-getting-a-nasty-makeover/.