0
0
O botnet Mirai continua quebrando recordes por conduzir os maiores e mais perturbadores ataques distribuídos de negação de serviço (DDoS) já vistos, dizem os pesquisadores.
Para ajudar as vítimas desses cenários, a Corero Network Security divulgou hoje um relatório analisando os métodos de ataque comuns da notória botnet, que pouco mudaram nos últimos anos. Ainda assim, o Mirai gerou inúmeras variantes para manter seu objetivo principal: explorar vulnerabilidades em dispositivos IoT para criar um exército de botnets para montar ataques DDoS.
“O que é interessante sobre o Mirai é que ele ainda é eficaz sem ter evoluído muito”, disse Huy Nguyen, engenheiro de segurança cibernética da Corero Network Security, a Dark Reading.
Embora nenhuma de suas inúmeras variantes se desvie dos vetores de ataque originais do Mirai, ele ainda representa uma ameaça perigosa, reforçada pelo crescente grupo de dispositivos IoT vulneráveis adicionados às redes todos os dias, escreveu ele no relatório.
De fato, os vetores de ataque típicos do Mirai são problemáticos o suficiente para danificar até grandes organizações, diz Nguyen. Além disso, os agentes de ameaças com habilidades técnicas limitadas podem construir botnets Mirai usando recursos encontrados na Internet, em parte graças ao vazamento de seu código-fonte em 2016.
Isso torna mais fácil para os invasores abusarem de inúmeros dispositivos instalados em empresas sem serem corrigidos, diz Nguyen. “Crianças de script podem construir sua própria botnet facilmente com alguns comandos”, escreveu ele.
E embora eles precisem explorar dispositivos IoT vulneráveis com um bug de execução remota de código (RCE) para descartar o malware e lançar um ataque DDoS, as falhas RCE “não são raras”, pois a maioria das pessoas tende a não atualizar roteadores domésticos, pontos de acesso, IP câmeras e similares, observou Nguyen.
Métodos comuns de ataque
O Mirai vem causando estragos desde meados da década de 2010 e é bem conhecido no campo da segurança cibernética por ter gerado vários ataques DDoS disruptivos contra organizações globais – incluindo a empresa de tecnologia francesa OVH, o governo da Libéria e o provedor de DNS Dyn em um ataque que afetou sites como Twitter, Reddit, GitHub e CNN.
A principal competência da Mirai é transformar dispositivos IoT como roteadores e câmeras em zumbis que os invasores podem controlar e usar para inundar alvos com grandes quantidades de tráfego, forçando o DDoS.
Embora às vezes pareça evoluir com a adição de novos recursos ou alvos , ou com o uso de novas linguagens de programação , o botnet ainda mantém nove vetores de ataque principais para inundar redes com tráfego para forçar o DDoS ao longo de sua vida até agora, de acordo com Corero .
Um deles é uma inundação de UDP, um tipo de ataque normalmente destinado a sobrecarregar a largura de banda da vítima. Nesse ataque, as vítimas podem ser um IP de destino, sub-rede ou várias sub-redes.
Um segundo é o que é chamado de inundação de consulta do Vale Source Engine, que aproveita a consulta estática do TSource Engine como suas cargas úteis. Este ataque, se não houver parâmetros de comando, envia o tráfego UDP para a porta de destino 27015.
O terceiro método de ataque é apelidado de “DNS Water Torture” que não segue um IP ou sub-rede de destino específico, mas visa sobrecarregar o recurso de um servidor DNS enviando consultas de DNS para resolvedores abertos, o que impede a resolução no domínio da vítima.
Um quarto método de ataque Mirai é semelhante a uma inundação UDP, mas com menos opções e otimizado para PPS mais alto, exigindo apenas três argumentos para ser acionado.
O quinto é um ataque chamado inundação SYN que não carrega uma carga útil e randomiza várias portas e é “complicado” para os defensores bloquearem. Outro ataque, uma inundação de ACK, é semelhante a uma inundação de SYN, mas carrega uma carga útil, que é aleatória e visa apenas tornar o ataque mais difícil de bloquear.
O sétimo método de ataque do Mirai é aquele em que “o botnet tenta não agir como um bot”, tornando difícil para os defensores distinguir entre tráfego normal e anormal, de acordo com o relatório. Ele usa o Simple Text Oriented Messaging Protocol (STOMP), um protocolo baseado em texto de aplicativo de camada 7, mas pode alterá-lo para um protocolo diferente para maior impacto.
Outro ataque é uma inundação GRE que encapsula os pacotes IP dentro de pacotes GRE, randomizando o IP de origem, o IP de destino, a porta de origem UDP, a porta de destino UDP e a carga UDP do pacote interno. Este método de longa data pode usar um “volume de BPS notavelmente alto” e pode causar “danos significativos” às vítimas visadas, escreveu Nguyen.
O último método conhecido de ataque Mirai é um ataque de inundação HTTP de camada 7 avançado e flexível, que um invasor pode personalizar com a configuração de parâmetros, acrescentou.
Defendendo-se contra o Mirai
Embora seus métodos de ataque tenham permanecido consistentes, a entrega do malware Mirai pode ser diferente de acordo com o tipo de dispositivo, plataforma ou bugs exploráveis, “o que o torna único”, escreveu Nguyen. No entanto, a Corero optou por focar seu relatório em revelar os métodos de ataque comuns da botnet para preparar melhor os defensores para mitigar um ataque DDoS que aproveita a botnet.
Dito isso, as organizações podem se defender melhor contra botnets como o Mirai implementando soluções especializadas para detectar anomalias de rede e mitigar ataques volumétricos, diz ele.
FONTE: DARKREADING