Mirai contraataca

Mirai contraataca

Sello de tiempo: 18 de septiembre de 2018 2:28 a.m.

Ruleta de WordPress Tiempo de leer: 4 minutos

Mirai ataca

Todo lo que hizo falta fue un malware para formulario una botnet que dejó la Internet basada en dominios inaccesible para muchas personas en la costa este de los Estados Unidos y en Europa el 21 de octubre de 2016. Fue el mayor ciberataque que provocó interrupciones de Internet en la historia de los Estados Unidos. Nos acercamos al segundo aniversario de la famosa botnet Mirai.

Una botnet es cuando muchas computadoras se infectan con malware zombie que les permite ser controladas por un servidor central para realizar ataques cibernéticos con su potencia de cómputo colectiva y ancho de banda. Son una forma popular de realizar una denegación de servicio distribuida (DDoS) ataques que puede eliminar todo tipo de diferentes tipos de dispositivos de red y servidores de internet. Los ataques de denegación de servicio se implementan abrumando un objetivo de red con paquetes hasta que su búfer de memoria se llena por completo y se ve obligado a cerrarse. La parte distribuida implica que muchas computadoras están coordinadas para realizar un ataque de denegación de servicio.

Mirai buscó en Internet dispositivos IoT (Internet de las cosas) a través del puerto Telnet. Si un dispositivo tuviera un puerto Telnet abierto, el malware Mirai intentaría una combinación de 61 combinaciones de nombre de usuario y contraseña predeterminadas conocidas para encontrar uno que le permita autenticarse maliciosamente. Si una combinación funcionaba, el dispositivo se agregaba a la enorme y creciente botnet Mirai. La mayoría de los dispositivos infectados por el malware Mirai eran enrutadores y cámaras de circuito cerrado de televisión conectados a Internet.

El primer gran ataque al servidor de Internet realizado por la botnet Mirai apuntó OVH, un proveedor francés de servicios en la nube. Dos ataques DDoS con un ancho de banda de hasta 799 Gbps derribaron algunos servidores de Minecraft alojados en OVH. Para entonces, la botnet consistía en 145,607 dispositivos.

El investigador de malware Comodo Venkat Ramanan ha estado observando la botnet Mirai desde su descubrimiento. "El primer incidente de la botnet Mirai se detectó en agosto de 2016. Se observaron millones de ataques de dispositivos IoT durante el mismo año. La pandilla ciberdelincuente de Mirai subió el código fuente de Mirai en Github en octubre de 2016 ".

El 21 de octubre de 2016, la botnet Mirai llegó a la red Dyn de servidores DNS. Los servidores DNS resuelven los nombres de dominio (como google.com) en direcciones IP (como 8.8.8.8) para que los seres humanos no tengan que recordar esas direcciones IP para acceder a los servicios de Internet. Dyn es un proveedor de DNS ampliamente utilizado, por lo que su tiempo de inactividad hizo que el uso de Internet basado en dominios fuera inaccesible para muchas personas. Dyn lanzó su análisis del ataque. después de su respuesta al incidente:

“El viernes 21 de octubre de 2016 de aproximadamente 11:10 UTC a 13:20 UTC y luego nuevamente de 15:50 UTC hasta las 17:00 UTC, Dyn fue atacado por dos grandes y complejos ataques de Denegación de Servicio Distribuida (DDoS) contra nuestra infraestructura DNS administrada. Estos ataques fueron mitigados con éxito por los equipos de Ingeniería y Operaciones de Dyn, pero no antes de que nuestros clientes y sus usuarios finales sintieran un impacto significativo.

El primer ataque comenzó alrededor de las 11:10 UTC del viernes 21 de octubre de 2016. Comenzamos a ver un ancho de banda elevado contra nuestra plataforma DNS administrada en las regiones de Asia Pacífico, América del Sur, Europa del Este y EE. UU. Oeste que se presentaron de una manera típicamente asociada con un ataque DDoS...

Este ataque ha abierto una conversación importante sobre la seguridad y la volatilidad de Internet. No solo ha resaltado las vulnerabilidades en la seguridad de los dispositivos de 'Internet de las cosas' (IoT) que deben abordarse, sino que también ha provocado un mayor diálogo en la comunidad de infraestructura de Internet sobre el futuro de Internet. Como lo hemos hecho en el pasado, esperamos contribuir a ese diálogo ".

El ataque no solo llamó la atención sobre cuán vulnerables pueden ser los dispositivos IoT, sino que también sirvió como un excelente recordatorio para cambiar siempre la configuración predeterminada en sus dispositivos conectados a Internet, ¡especialmente los nombres de usuario y las contraseñas!

Bueno, ahora Mirai está de vuelta y más mal que nunca. Uno de los desafíos de desarrollar malware de IoT es cuán diferentes son los dispositivos de IoT entre sí. Hay una enorme diversidad en los dispositivos IoT porque pueden manifestarse como cualquier cosa, desde controladores industriales hasta dispositivos médicos, desde juguetes para niños hasta electrodomésticos de cocina. Pueden ejecutar una multitud de diferentes sistemas operativos y software integrado, por lo que el código malicioso que puede explotar las vulnerabilidades en un dispositivo en particular no puede explotar la mayoría de los otros dispositivos. Pero con la ayuda del proyecto aborigen Linux, el último malware Mirai puede explotar una amplia gama de dispositivos IoT. Un investigador de malware lo descubrió en la naturaleza:

“A finales de julio, me encontré con un servidor remoto en vivo que alojaba múltiples variantes de malware, cada una para una plataforma específica. Al igual que con muchas infecciones de Mirai, comienza disparando un script de shell en un dispositivo vulnerable. Ese script de shell intenta secuencialmente descargar y ejecutar ejecutables individuales uno por uno hasta que se encuentre un binario que cumpla con la arquitectura actual ...

Si bien este es un comportamiento similar a las variantes de Mirai que hemos visto hasta ahora, lo que lo hace interesante es el binario compilado. Estas variantes se han creado al aprovechar un proyecto de código abierto llamado Aboriginal Linux que hace que el proceso de compilación cruzada sea fácil, efectivo y prácticamente a prueba de fallas. Cabe señalar que no hay nada malicioso o incorrecto con este proyecto de código abierto, los autores de malware están aprovechando una vez más las herramientas legítimas para complementar sus creaciones, esta vez con una solución efectiva de compilación cruzada.

Dado que la base de código existente se combina con un elegante marco de compilación cruzada, las variantes de malware resultantes son más robustas y compatibles con múltiples arquitecturas y dispositivos, lo que lo hace ejecutable en una amplia variedad de dispositivos que van desde enrutadores, cámaras IP, dispositivos conectados, e incluso dispositivos Android ".

Si tiene dispositivos IoT que ejecutan una versión de Linux o Android y desea fortalecer la seguridad contra esta última versión de Mirai, esto es lo que puede hacer. Deshabilite los inicios de sesión de Telnet si es posible y bloquee el puerto Telnet por completo. Si usa nombres de usuario y contraseñas predeterminados, ¡cámbielos! Desactive Universal Plug and Play (UpnP) si puede, e implemente Ethernet por cable en lugar de WiFi si puede. Si necesita usar WiFi, solo conéctese a WiFi encriptado (WPA2 o el próximo WPA3 es lo mejor), y tenga una contraseña compleja para su punto de acceso inalámbrico.

Recursos Relacionados:

PRUEBA GRATUITA OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS

Sello de tiempo:

Mas de Ciberseguridad Comodo