Mirai contra-ataca

Mirai contra-ataca

Carimbo de data / hora: 18 de setembro de 2018 2:28

Roleta WordPress Tempo de leitura: 4 minutos

Mirai ataca

Bastou um malware para formulário uma botnet que deixou a Internet baseada em domínio inacessível para muitos na costa leste dos Estados Unidos e na Europa em 21 de outubro de 2016. Foi o maior ataque cibernético a causar indisponibilidade da Internet na história dos EUA. Estamos chegando ao segundo aniversário da notória botnet Mirai.

Um botnet é quando muitos computadores são infectados com malware zumbi, o que permite que eles sejam controlados por um servidor central para conduzir ataques cibernéticos com seu poder de computação coletivo e largura de banda. Eles são uma forma popular de conduzir negação de serviço distribuída Ataques (DDoS) que pode desligar todos os tipos de dispositivos de rede e servidores de internet. Ataques de negação de serviço são implantados sobrecarregando um alvo de rede com pacotes até que seu buffer de memória esteja cheio e seja forçado a desligar. A parte distribuída implica que muitos computadores são coordenados para conduzir um ataque de negação de serviço.

Mirai procurou dispositivos IoT (Internet of Things) na Internet por meio da porta Telnet. Se um dispositivo tivesse uma porta Telnet aberta, o malware Mirai tentaria uma combinação de 61 combinações de nome de usuário e senha padrão conhecidas a fim de encontrar um que permita uma autenticação maliciosa. Se uma combinação funcionasse, o dispositivo era adicionado ao enorme e crescente botnet Mirai. A maioria dos dispositivos infectados pelo malware Mirai eram câmeras e roteadores de circuito fechado de TV conectados à Internet.

O primeiro grande ataque a servidor de Internet conduzido pelo botnet Mirai direcionado OVH, um provedor francês de serviços em nuvem. Dois ataques DDoS com uma largura de banda de até 799 Gbps derrubaram alguns servidores Minecraft hospedados pela OVH. Até então, o botnet consistia em 145,607 dispositivos.

O pesquisador de malware da Comodo, Venkat Ramanan, tem observado o botnet Mirai desde sua descoberta. “O primeiro incidente do botnet Mirai foi detectado em agosto de 2016. Milhões de ataques a dispositivos IoT foram observados durante o mesmo ano. A gangue cibercriminosa de Mirai carregou o código-fonte de Mirai no Github em outubro de 2016. ”

Em 21 de outubro de 2016, o botnet Mirai atingiu a rede Dyn de servidores DNS. Os servidores DNS resolvem nomes de domínio (como google.com) em endereços IP (como 8.8.8.8) para que os seres humanos não precisem se lembrar desses endereços IP para acessar os serviços de Internet. Dyn é um provedor de DNS amplamente usado, então seu tempo de inatividade tornou o uso da Internet baseado em domínio inacessível para muitas pessoas. Dyn divulgou sua análise do ataque após a resposta ao incidente:

“Na sexta-feira, 21 de outubro de 2016, aproximadamente das 11:10 UTC às 13:20 UTC e novamente das 15:50 UTC às 17:00 UTC, o Dyn foi atacado por dois grandes e complexos ataques de negação de serviço distribuído (DDoS) contra nossa infraestrutura de DNS gerenciado. Esses ataques foram mitigados com sucesso pelas equipes de Engenharia e Operações da Dyn, mas não antes de um impacto significativo ser sentido por nossos clientes e seus usuários finais.

O primeiro ataque começou por volta de 11:10 UTC na sexta-feira, 21 de outubro de 2016. Começamos a ver largura de banda elevada em nossa plataforma de DNS gerenciado nas regiões da Ásia-Pacífico, América do Sul, Europa Oriental e EUA-Oeste que se apresentavam de uma forma tipicamente associada com um ataque DDoS...

Esse ataque abriu uma conversa importante sobre a segurança e a volatilidade da Internet. Não apenas destacou vulnerabilidades na segurança dos dispositivos da 'Internet das Coisas' (IoT) que precisam ser resolvidas, mas também gerou mais diálogo na comunidade de infraestrutura da Internet sobre o futuro da Internet. Como fizemos no passado, esperamos contribuir para esse diálogo. ”

O ataque não apenas chamou a atenção para o quão vulneráveis ​​os dispositivos IoT podem ser, mas também serviu como um excelente lembrete para sempre alterar as configurações padrão em seus dispositivos conectados à Internet - especialmente nomes de usuário e senhas!

Bem, agora Mirai está de volta e mais malvada do que nunca. Um dos desafios do desenvolvimento de malware IoT é como os dispositivos IoT são muito diferentes uns dos outros. Há uma enorme diversidade em dispositivos IoT porque eles podem se manifestar como qualquer coisa, desde controladores industriais a dispositivos médicos, de brinquedos infantis a utensílios de cozinha. Eles podem executar uma grande variedade de sistemas operacionais e softwares incorporados, de modo que o código malicioso que pode explorar as vulnerabilidades em um determinado dispositivo geralmente não pode explorar a maioria dos outros dispositivos. Mas, com a ajuda do projeto Aboriginal Linux, o malware Mirai mais recente pode explorar uma ampla gama de dispositivos IoT. Um pesquisador de malware o descobriu à solta:

“No final de julho, me deparei com um servidor remoto ao vivo hospedando várias variantes de malware, cada uma para uma plataforma específica. Como acontece com muitas infecções por Mirai, ele começa disparando um script de shell em um dispositivo vulnerável. Esse script de shell tenta fazer o download e executar sequencialmente executáveis ​​individuais, um por um, até que um binário compatível com a arquitetura atual seja encontrado ...

Embora este seja um comportamento semelhante às variantes do Mirai que vimos até agora, o que o torna interessante é o binário compilado. Essas variantes foram criadas aproveitando um projeto de código aberto chamado Aboriginal Linux que torna o processo de compilação cruzada fácil, eficaz e praticamente à prova de falhas. Deve-se notar que não há nada de malicioso ou errado com este projeto de código aberto, os autores de malware estão mais uma vez aproveitando ferramentas legítimas para complementar suas criações, desta vez com uma solução de compilação cruzada eficaz.

Dado que a base de código existente é combinada com uma estrutura de compilação cruzada elegante, as variantes de malware resultantes são mais robustas e compatíveis com várias arquiteturas e dispositivos, tornando-o executável em uma ampla variedade de dispositivos, desde roteadores, câmeras IP, dispositivos conectados, e até mesmo dispositivos Android. ”

Se você tiver dispositivos IoT que executam uma versão do Linux ou Android e quiser aumentar a segurança dessa versão mais recente do Mirai, aqui está o que você pode fazer. Desative os logins de Telnet se possível e bloqueie a porta Telnet completamente. Se você estiver usando nomes de usuário e senhas padrão, altere-os! Desative o Plug and Play universal (UpnP) se puder e implante Ethernet com fio em vez de WiFi se puder. Se precisar usar WiFi, conecte-se apenas ao WiFi criptografado (WPA2 ou o próximo WPA3 é melhor) e tenha uma senha complexa para o ponto de acesso sem fio.

Recursos relacionados:

COMECE O TESTE GRÁTIS OBTENHA SEU SCORECARD DE SEGURANÇA INSTANTÂNEO GRATUITAMENTE

Carimbo de hora:

Mais de Comodo de segurança cibernética