Media szeroko donosiły o botnecie Mirai, który składał się z urządzeń IoT i był wykorzystywany w atakach DDoS przeprowadzonych na rekordowo dużą skalę, powodując odmowę usługi w całym regionie. Zważywszy na to, że kod źródłowy botnetu został upubliczniony, a trend dotyczący Internetu Rzeczy staje się coraz wyraźniejszy, w najbliższej przyszłości nie należy spodziewać się spadku aktywności związanej z botnetem IoT.    

Aby osadzić temat w perspektywie, należy przypomnieć sobie rok 2012, gdy został upubliczniony kod źródłowy trojana bankowego Zeus. W efekcie pojawiła się ogromna liczba modyfikacji tego trojana, z których wiele nadal jest aktywnych i zalicza się do najbardziej rozpowszechnionego szkodliwego oprogramowania finansowego. Podobnie, ostatni wyciek może spowodować pojawienie się modyfikacji Mirai, stworzonych przez cyberprzestępców i oparych na upublicznionym kodzie źródłowym.

Botnet nadal jest aktywny. Przeprowadziliśmy analizę jego aktywności, aby przekonać się, jak działa Mirai, jakie cele chcą zrealizować jego właściciele i – co najważniejsze – co należy zrobić, aby w przyszłości nie stać się częścią botnetu.  

Jak działa Mirai

W oparciu o kod źródłowy botnetu, który został opublikowany na forum użytkowników, wiadomo, że Mirai składa się z następujących komponentów:

• centrum kontroli (C&C), które zawiera bazę danych MySQL obejmującą wszystkie zainfekowane urządzenia IoT (boty) i wysyła polecenia do pośrednich serwerów dystrybucji poleceń; 
• komponentu Scan Receiver, który gromadzi wyniki działania każdego bota i przekazuje je komponentowi, który pobiera bota na podatne na ataki urządzenia (Dystrybutor);  
• komponentu downloadera, który dostarcza plik binarny bota na podatne na ataki urządzenie (przy użyciu narzędzi wget i tftp – jeśli nie są one obecne w systemie, wykorzystuje swojego własnego downloadera);
• bota, który po uruchomieniu na zainfekowanym urządzeniu łączy się z centrum kontroli, skanuje zakres IP (skanowanie SYN) w celu zidentyfikowania podatnych na ataki urządzeń i wysyła wyniki skanowania do komponentu Scan Receiver, aby na urządzenie został następnie pobrany kolejny szkodliwy kod.   

Istotną cechą sposobu skanowania urządzeń przez botnet Mirai jest wykorzystywanie przez bota słownika loginów i haseł podczas próby połączenia się z urządzeniem. Autor oryginalnego botnetu Mirai załączył stosunkowo niewielką listę loginów i haseł umożliwiających łączenie się z różnymi urządzeniami. Jednak od tego czasu lista ta została znacznie rozszerzona dzięki dodaniu domyślnych loginów i haseł dla różnych urządzeń IoT, co wskazuje na istnienie licznych modyfikacji bota.

Lista loginów i haseł wykorzystywanych przez oryginalny botnet Mirai podczas poszukiwania podatnych na ataki urządzeń IoT

To jednak nie wszystko, czego możemy dowiedzieć się o botnecie Mirai.

Analiza aktywności botnetu

Aby ocenić obecną aktywność botnetu Mirai, wystarczy wdrożyć serwer z otwartym portem telnet w Internecie i przeanalizować próby połączeń dokonywane przez różne boty. Na przykład, pierwsze próby połączenia się z naszym portem telnet przez kilka różnych hostów wykryliśmy w ciągu trzech minut od momentu aktywowania online naszego eksperymentalnego serwera.   

Dwa fakty wskazują na to, że połączenia te są dokonywane przez boty z oryginalnego botnetu Mirai lub jego modyfikacji (tj. przez zainfekowane urządzenia):

• konta wykorzystywane przez boty podczas prób ustanowienia połączenia znajdują się na liście słów wykorzystywanych do łamania haseł przy użyciu metody brute force oryginalnego botnetu;
• z analizy źródeł połączeń wynika, że zainfekowane hosty, które przeprowadzają skanowanie, to w większości przypadków urządzenia IoT (kamery i rutery różnych producentów).  

Próby połączeń dokonywane przez zainfekowane stacje robocze w ramach botnetu Mirai podczas poszukiwania urządzeń IoT przy użyciu haseł domyślnych

Poniżej znajduje się lista par loginów i haseł najczęściej wykorzystywanych przez boty Mirai podczas prób połączeń:

Jeśli zignorować trywialne kombinacje takie jak “root:root” czy “admin:admin”, stosunkowo dobrze widać, jakiego sprzętu szuka botnet. Na przykład, pary “root:xc3511” i “root:vizxv” to domyślne konta kamer IP stworzonych przez dość dużych chińskich producentów.   

Panel administracyjny do zarządzania kamerą IP, która jest częścią botnetu

Jeżeli chodzi o aktywność samego botnetu, można przeanalizować liczbę prób zalogowania się w ciągu 24 godzin i przekonać się samemu. 13 grudnia 2016 r. zarejestrowaliśmy 5 553 próby połączenia się z naszym serwerem przez boty Mirai, podczas gdy 10 dni wcześniej, 3 grudnia 2016 r., odnotowaliśmy 8 689 takich prób. Czy to znaczy, że botnet traci moc? Zmniejszona aktywność związana z poszukiwaniem nowych potencjalnych botów z pewnością może wskazywać na spadek tempa infekowania nowych urządzeń przez Mirai, jest jednak zbyt wcześnie, aby wyciągnąć jakiekolwiek wnioski.       

Jak nie stać się częścią botnetu Mirai

Zalecamy następujące działania pozwalające zapobiec włączeniu urządzeń do botnetu Mirai:

• Zmień domyślne parametry konta na każdym swoim urządzeniu. Hasła do kont powinny składać się z co najmniej 8 znaków i zawierać cyfry, wielkie litery oraz znaki specjalne. 
• Na każdym urządzeniu zainstaluj najnowsze aktualizacje dostarczane przez producenta.
• Dobrym rozwiązaniem jest zablokowanie wszystkich potencjalnych punktów wejścia do systemu operacyjnego na swoim urządzeniu (telnet/SSH/panel sieciowy itd.), tak aby nie można było uzyskać do nich dostępu za pośrednictwem internetu.  

Więcej szczegółów odnośnie botnetu Mirai jest dostępnych dla subskrybentów raportów w ramach usługi Kaspersky Intelligence Services. Aby uzyskać dalsze informacje, należy skontaktować się pod adresem intelreports@kaspersky.com.