Home  >  Segurança

Novas variantes do Mirai e como se proteger das ameaças

Dois anos após o Mirai, botnets se tornaram scripts de entretenimento

Da Redação

05/12/2018 às 15h29

DDoS
Foto: Shutterstock

Em setembro de 2016, empresas como Twitter, CNN e Spotify foram bloqueadas pelo maior ataque de DDoS da história. A força por trás do ataque era uma botnet conhecida como Mirai e, até então, poucas pessoas esperavam que um arsenal de dispositivos de internet das coisas (IoT) fosse montado para formar uma botnet por trás de um ataque tão massivo.

A equipe de inteligência de ameaças da empresa de cibersegurança Avast analisou um grupo de sete novas variantes do Mirai e investigou quem poderia estar por trás delas. Os resultados mostraram que os cibercriminosos por trás delas estão alugando essas botnets, como um serviço para os outros. As investigações apontaram que é possível que um script relativamente inexperiente esteja por trás dessas sete versões, capazes de causar grandes danos.

Lançamento do código-fonte do Mirai incentiva criação de novas variantes da botnet

Depois de derrubar grande parte da internet, o criador do malware Mirai, auto-denominado "Anna-Senpai", lançou o código-fonte. O código Mirai rapidamente se tornou um framework, como um template. Com isso, qualquer um que encontre uma nova maneira de explorar um novo dispositivo, pode simplesmente adicioná-lo - o que criaria uma “nova” variante de botnet.

Recentemente, o usuário do Twitter @400kQBOT divulgou um link com o código-fonte de sete variantes do Mirai. A equipe de inteligência de ameaças da Avast começou a investigar as suas origens. As investigações da equipe levaram à suposição de que um cibercriminoso nomeado Scarface#1162 pode estar por trás das sete variantes de botnets, alugando o acesso à elas como um serviço, inclusive promovendo-as no YouTube e no Twitter. A suposição da equipe, de que 400kQbot e Scarface eram a mesma pessoa, foi confirmada em meados de setembro último. Isto, depois que ele se identificou em um tweet do 400kQBot.

Conheça as variantes

Combinações de Credenciais: com relação às combinações de credenciais, o código Mirai original usava uma lista de sessenta e duas senhas altamente codificadas para executar um ataque de força bruta (ataque de dicionário) contra os dispositivos IoT vulneráveis. Ao analisar as variantes, a equipe da Avast descobriu que a lista de senhas é alterada por bot. A equipe recuperou e decodificou todas as senhas usadas por cada variante, para descobrir se a lista de senhas do código Mirai foi reutilizada e se há alguma sobreposição. A maior lista de senhas foi implementada na variante Saikin com oitenta senhas, onde apenas quatro se sobrepõem ao código original do Mirai. Ao optar pela implementação de uma lista de senhas diferentes, é provável que o invasor tenha como alvo uma diversidade maior de dispositivos IoT.

2019 tendências

Novas Portas: assim como o Mirai, todas as suas variantes possuem um módulo killer.c, que tem vários propósitos. Primeiro, esse módulo se livra de outro malware possivelmente em execução no dispositivo atual. Segundo, ele impede que as outras pessoas obtenham o acesso remoto ao dispositivo por meio de um Telnet, SSH ou HTTP. Análises revelaram que, além de haver portas padrão kill do Mirai, cinco das sete variantes (exceto Saikin e Josho_V3) adicionaram um novo protocolo ou portas específicas do dispositivo às suas listas alvo. Adicionalmente, essas portas permitiriam que o autor da botnet se conectasse com mais dispositivos e, ao mesmo tempo, impedisse que as outras pessoas acessassem tais dispositivos remotamente.

Novas Arquiteturas: todas as variantes do Mirai que a equipe de inteligência de ameaças da Avast analisou, tinham como alvo as mesmas arquiteturas do Mirai. Apenas três delas: Sora, Saikin e Akiru adicionaram duas novas arquiteturas: ARC (Argonaut RISC Core) e RCE (Motorola RCE).

A equipe de inteligência de ameaças explica que a análise revelou que, embora as novas variantes não sejam notáveis em suas alterações do código-fonte original do Mirai, elas podem causar muitos danos.

Segundo os pesquisadores, dentre os seus objetivos está o direcionamento de diferentes e um maior número de dispositivos IoT do que a variante Mirai original, por meio das variações das listas de senhas aplicadas em ataques de força bruta e adicionando novas portas ao seu destino. Quanto mais variantes da botnet existirem, mais prejuízos poderão ser causados - e, para o usuário, isso significa que a ameaça é real. Caso um dispositivo doméstico seja atacado, como uma babá eletrônica ou um roteador, então, o cibercriminoso também poderá acessar todos os demais dispositivos da casa.

Como se proteger

A Avast recomenda os seguintes passos para a proteção dos dispositivos IoT e de uma casa inteligente:

Altere a senha padrão do administrador no roteador e de todos os dispositivos IoT, enquanto faz as configurações;

Mantenha os dispositivos em dia, com relação às atualizações mais recentes do firmware;

Desative o gerenciamento remoto na página de configurações do roteador;

Se não tiver certeza que o dispositivo foi infectado, considere a redefinição do dispositivo para as configurações do fabricante e, então, repita o passo a passo a partir etapa 1.