DDoS, IoT Botnet : Mirai etc

[Malekal_morte]

Une Attaque DDoS massive a eu lieu contre des services internet comme GitHub, Paypal, Twitter, Reddit, Netflix, Airbnb,.. dans la nuit de vendredi à samedi 21 octobre 2016. L'attaque a porté contre le service DNS de ces sites. La résolution des adresses n'était plus possible mettant hors ligne tous les sites. Il semblerait que ce soit le même type d'attaque utilisée contre le site de Brian Krebs et OVH.

L'internet des objets (IoT) est encore montré du doigt pour son manque évident de sécurité.



Les objets connectés transformés en zombies sont suffisamment modulables pour les engager dans la conduite d'attaques de très grandes ampleurs. Le botnet Mirai dont le code source a fuité ne fait qu'illustrer ce que seront les futures attaques informatiques. Ré-programmés aux derniers instants, plusieurs botnets pourraient s'unir pour mener une attaque préparée de longue date ce qui pourraient très bien entrainer la paralysie partielle ou complète d'une industrie ou d'un pays.

[Malekal_morte]

Le botnet Miria poursuit ses activitése et attaques DDoS.
Incapusla un éditeur de sécurité a enregistré récemment une attaque de 30,000 RPS (rêquetes par secondes) et une cible ayant reçu un pic à 37, 000 RPS.

mirai-botnet-baisse.png

Mirai-DDoS-map.jpg

Le Botnet Mirai a été dévéloppe fin 2015 mais a été médiatisé l'été 2016, après les attaques contre le site de sécurité Brian Krebs, OVH, ainsi que le service Dyn DNS.

Après ces attaques l'auteur du malware et du botnet a publié le code, ce qui a permis la constitutions de botnet par d'autres acteurs.
Un de ces groupes a pu constituer un botnet de 400 000 bots.
Ce botnet a causé de perturbations chez des fournisseurs d'accès Allemandes et anglais après que le malware a pu infecter des routeurs.
La police Britannique a arrête un suspect dans cet incident.

Depuis cette arrestation, l'activité de ces botnets a été en baisse continuent, les éditeurs de sécurité ayant procédé à des sinkholes aggressifs de C&C pour mettre hors lignes ces botnets.

mirai-botnet-baisse.png

Dernièrement un Trojan visant Windows lié à Mirai a été découvert, détecté en Trojan.Mirai.1 par Dr.Web
Ce dernier procède à des scans de ports, si des équipements Linux sont découverts, le Trojan va tenter d'y installer un malware linux Mirai afin de faire joindre cet équipement au botnet .
S'il s'agit d'un équipement Windows, une copie de Trojan y sera installé pour servir de nouvelles plateformes de scans de ports.

Ce trojan vise différents services et scans de ports :

22 - SSH
23 - Telnet
135 - DCE/RPC
445 - Active Directory
1433 - MSSQL
3306 - MySQL
3389 - RDP

Ce trojan peut aussi s'attaquer à des bases de données MySQL ou SQL Serveur pour y créer un utilisateur administrateur et voler des données.

Source:
https://www.bleepingcomputer.com/news/s ... os-attack/
https://www.bleepingcomputer.com/news/s ... n-efforts/

~~

Sur notre actualités des botnets, Mirai est assez bien place en terme de prévalence.
C'est à dire la capacité à rester longtemps sur la machine/équipements.

[Malekal_morte]

Une nouvelle variante de Mirai est sorti avec un module bitcoin (Trojan Bitcoin).
Le but est de générer des bitcoin à travers, des routeurs et autres IOT qui seront infecté

mirai-botnet-bitcoin-mining.jpg

=> http://securityaffairs.co/wordpress/579 ... tcoin.html

[Malekal_morte]

Une nouvel variante d'un botnet IoT : Persirai
Ce dernier s'attaque à des caméras.
120 000 caméras serait vulnérables dans le monde.

Persirai-botnet.jpg

Persirai-botnet-2.jpg

source : http://blog.trendmicro.com/trendlabs-se ... p-cameras/

[Malekal_morte]

Un nouveau botnet du nom de Reaper a été mis à jour.
Ce dernier serait actuellement de 20 000 bots et continuent de grossir.

Contrairement à Mirai qui se scannait des ports telnet pour s’introduire sur les objets connectés, Reaper lui exploite des vulnérabilités :

• Dlink https://blogs.securiteam.com/index.php/archives/3364
• Goahead https://pierrekim.github.io/blog/2017-0 ... -0day.html
• JAWS https://www.pentestpartners.com/blog/pw ... v-cameras/
• Netgear https://blogs.securiteam.com/index.php/archives/3409
• Vacron NVR https://blogs.securiteam.com/index.php/archives/3445
• Netgear http://seclists.org/bugtraq/2013/Jun/8
• Linksys http://www.s3cur1ty.de/m1adv2013-004
• dlink http://www.s3cur1ty.de/m1adv2013-003
• AVTECH https://github.com/Trietptm-on-Security/AVTECH

Certains NAS, serveurs Linux et des routeurs sont donc visés.. ce qui n'est pas étonnant, si vous aviez suivi notre actualité : Piratage de routeur en hausse

Pour le moment, le malware à l'origine de ce botnet ne posséderait pas de commande pour lancer des attaques DDoS.
Mais une mise à jour peut apporter ces fonctionnalités très rapidement.

Source : http://blog.netlab.360.com/iot_reaper-a ... botnet-en/

[Malekal_morte]

Un autre botnet en cours de constructions depuis le 22 Novembre.
En 60 heures, 100 000 IPs auraient été identifiées dont une grande partie se trouve en Argentine.
Les ports ports 23 et 2323 en telnet sont particulièrement visés pour toucher des routeurs ZyXEL PK5001Z.

mirai-botnet.png

Source : http://securityaffairs.co/wordpress/660 ... ntina.html

[Malekal_morte]

Mirai continue d'évoluer de nouveaux forks.
Fin Fevrier, Fortinet a identifié une nouvelle variante Mirai OMG qui permet de transformer l'équipement infecté en proxy.
Il est alors possible de vendre des ordinateurs pour cacher son activité sur la toile.

source : https://www.fortinet.com/blog/threat-re ... rvers.html

iot-mirai-botnet-proxy.png

[Shimik_Root]

Merci pour ces informations Malekal.

Pour tester la vulnérabilité de notre caméra et autre objets connectés il existe une solution à l'heure actuelle ?

[Malekal_morte]

non mais pour qu'elle soit infectée, il faut qu'elle soit accessible par internet que les mots de passe administrateur par défaut n'aient pas été changé, style :
admin/admin
admin/1234