Vijf maatregelen om cyberaanvallen te voorkomen

De digitale strijd tussen goed en kwaad is eigenlijk altijd in het voordeel van de cybercrimineel. Vele processen, mechanismen en beperkingen ten spijt, de cybercrimineel heeft maar één zwakheid nodig om zich digitaal te infiltreren in een organisatie. Ondanks deze pessimistische inslag, valt er wel wat tegen te doen. Naast de traditionele maatregelen zoals filtering, malware inspectie, hardening, etc., zijn er een vijftal maatregelen die daadwerkelijk het verschil kunnen maken.

1 – Handel risicobewust
Het cyberklimaat verandert voortdurend. Een baseline hanteren geeft hier maar beperkt invulling aan. Risk Management is dan het enige antwoord. Weet wat de kroonjuwelen zijn, maar weet ook wat er te halen valt voor de cybercrimineel. Voer met enige regelmaat een risk-assessment uit waarbij je expliciet kijkt naar de trends binnen cybercriminaliteit en zeker de trends die zich binnen de eigen bedrijfstak manifesteren. Ken je eigen zwakheden en neem vervolgens passende maatregelen.

2 – Scherm informatie af
Traditioneel zetten we graag een groot hek om onze IT-dienstverlening, om vervolgens achter dit hek minder te hoeven doen. Security wordt immers vaak als hinderlijk beschouwd. Door de afscherming direct op de informatie te implementeren is het onleesbaar zodra het in handen komt van ongeautoriseerden. Deze maatregel heeft een negatieve impact op de performance, daarom is het raadzaam om enkel het werkelijk gevoelige gedeelte van de informatie af te schermen. Scherm niet de hele database af, maar enkel de specifieke attributen.

3 – Pas segmentering toe
Segmentering is een oude maatregel, maar in een hybride omgeving nog altijd zeer effectief, mits goed toegepast. Segmenteer de totale infrastructuur, onderken de verschillende vertrouwde, minder-vertrouwde en niet-vertrouwde zones en sta tussen de zones enkel wenselijk dataverkeer toe.

4 – Hanteer sterke authenticatie voor alle medewerkers én componenten
Sterke authenticatie is geen garantie, want als de cybercrimineel eenmaal binnen is, biedt het weinig bescherming meer. Het is echter wel weer een extra hindernis. Als ook interne componenten zich op basis van digitale certificaten aan elkaar authentiseren, wordt het wel erg moeilijk gemaakt voor de cybercrimineel.

5 – Controleer op afwijkend gedrag
Na infiltratie zal een cybercrimineel verder opzoek gaan naar de jackpot. In deze zoektocht laat hij verschillende sporen na. Om deze te kunnen detecteren moeten we weten wat ‘normaal’ gedrag is, zodat afwijkend gedrag geregistreerd kan worden. ‘Anomaly Detection’ is daarmee de ‘last mile’ op Security gebied.

Ook cybercriminelen maken een afweging tussen wat levert het doel op en wat zijn de kosten/inspanning om deze te bereiken

We weten allemaal wel dat het een utopie is om te denken dat 100% afscherming bestaat. Tevens weten we dat er geen Silver Bullit in deze business is. Maar zoals elke onderneming een afweging maakt tussen risico nemen of investeren om het risico te mitigeren, maakt de cybercrimineel ook een afweging tussen zijn doelen en de inspanning die hij moet leveren om deze te bereiken. Het is onze uitdaging om dit omslagpunt voor de cybercrimineel zo ver als mogelijk in ons voordeel te verschuiven.

> Dit artikel werd op 10 mei 2017 gepubliceerd op Securitymanagement.nl.

> Lees ook het voorgaande artikel: Vijf redenen waarom cyberaanvallen slagen

Geplaatst in Security | Tags: , , , | Een reactie plaatsen

Vijf redenen waarom cyberaanvallen slagen

Het klimaat in cyberland verandert voortdurend, maar omdat we er midden in staan zijn we hier niet altijd bewust van.

Zo is de tijd dat een cybercrimineel onopgemerkt binnen een organisatie zijn gang kan gaan weliswaar afgenomen naar gemiddeld 146 dagen (tegenover 204 dagen in 2014). Daarentegen is het aantal organisaties dat slachtoffer is geworden van een cyberaanval fors toegenomen, namelijk met een stijging van 15% ten opzichte van 2015. Als we de lijst met slachtoffers van cybercrime bekijken, is het aantal organisaties waarvan we mogen verwachten hier voldoende tegen geëquipeerd zijn schrikbarend. Een bijna naïeve vraag die opspeelt is: hoe is dit mogelijk? Nemen organisaties de cyberdreiging onvoldoende serieus? Of is het antwoord toch complexer?

In oktober 2015 werd de financiële wereld geraakt door de Carbanak-groep. Niet enkel de buit was indrukwekkend, een bedrag tussen 300 miljoen en 1 miljard dollar, maar ook de omvang van de aanval, namelijk zeker 100 financiële dienstverleners verspreid over zo’n 30 landen. De hele operatie heeft drie jaar geduurd. In vele oogpunten, maar zeker op organisatorisch gebied, een hoogstandje. De Carbanak-aanval heeft hiermee een nieuwe standaard gezet als het gaat om georganiseerde cybermisdaad. Wanneer we deze aanval als voorbeeld nemen, zien we de volgende vijf oorzaken:

1 – Cyberbewustzijn
Ondanks de inzet van een grote hoeveelheid awareness-campagnes, blijft het effect ervan toch laag. Te veel medewerkers reageren nog altijd positief op phishingmails. Zelfs mensen die werkzaam zijn in de IT, waarvan verwacht mag worden dat zij minstens over voldoende cyberkennis beschikken, geven een positieve opvolging aan het criminele verzoek. Het gevolg hiervan is dat de crimineel toegang krijgt tot het interne netwerk van de organisatie. Infiltratie is dan een feit. Zoals eerder genoemd, hebben ze vervolgens gemiddeld 146 dagen de tijd om uit te zoeken waar zich de heilige graal van een organisatie bevindt en hoe er gebruik, of beter gezegd misbruik, van gemaakt kan worden. De Carbanak-aanval begon met een gerichte phishing-aanval, waarop meerdere medewerkers positief reageerden. Minstens één van deze slachtoffers had voldoende rechten om de criminelen onbewust ‘toegang’ te geven tot het interne domein.

2 – Aanpassingsvermogen
De IT-klok tikt steeds sneller. Of het nu gaat om adoptie van nieuwe technologieën of het up-to-date houden van haar eigen IT-middelen, veel organisaties hebben niet of nauwelijks meer het vermogen om zich telkens weer aan te passen. Dit komt pijnlijk tot uiting binnen het patchproces dat voor vele organisaties nog altijd een worsteling is. Het belang van gedegen patchen wordt nog steeds zwaar onderschat. Kijkend naar de Carbanak-casus, zien we dat kwetsbaarheden van wel twee jaar oud misbruikt zijn. De slachtoffers liepen dus zeker twee jaar achter. Dit lage aanpassingsvermogen wordt door verschillende factoren veroorzaakt, zoals de toegenomen complexiteit door integratie van IT-diensten van derden of de omvangrijkheid van de totale IT-huishouding, waardoor onderhoud te kostbaar is geworden.

3 – Traditioneel handel- en denkvermogen
Door veroudering van het IT-personeel wordt er te lang vastgehouden aan traditionele gewoontes. Afscherming richt zich nog te vaak enkel op de omgeving in plaats van de informatie. Oude en onveilige communicatieprotocollen, zoals Telnet, worden nog vaak gebruikt. Er wordt ‘baseline’ gedacht, in plaats van risicobewust te handelen. De totale inrichting, de processen en gebruikte mechanismen rond security waren prima voor de 20ste eeuw, maar absoluut onvoldoende voor het heden. Oude gewoontes combineren met nieuwe technologieën kan desastreus zijn.

4 – Professionele cybercriminaliteit
Cybercriminaliteit is inmiddels volwassen geworden, maar we hebben moeite dit in te zien. Zo zet het security bedrijf Kaspersky de groep die verantwoordelijk is voor de Carbanak-aanval nog denigrerend weg als ‘gang’. Als we echter kijken naar de totale Carbanak-operatie zullen we toch moeten toegeven dat we hier te maken hebben met een zeer goed georganiseerde en professionele organisatie. Geld en resources zullen niet langer de beperkende factor zijn.

5 – Overschatting eigen securitymaatregelen en onderschatting van de dark force
Veel organisaties hebben een groot vertrouwen in de securitymaatregelen en gaan ervan uit dat een dergelijke cyberaanval hen niet kan overkomen. Echter bestaat er geen ‘silver bullit’. Alle maatregelen ten spijt, ze gaan allemaal uit van het bekende en hebben geen oog voor het (nog) onbekende. Kijkend naar de Carbanak-aanval: wie van de financiële dienstverleners heeft zich nu daadwerkelijk afgevraagd of een dergelijke aanval ook hun had kunnen overkomen? Een duidelijk voorbeeld van een ver-van-mijn-bed houding.

Dit artikel werd op 3 mei gepubliceerd op Securitymanagement.nl zo ook het vervolg ‘Vijf maatregelen om cyberaanvallen te voorkomen‘ (deze zal ik later hier ook publiceren).

Geplaatst in Security, Uncategorized | Tags: , , , | 1 reactie

Zero Day Exploits

Zero Day Exploit is de nachtmerrie van elke IT organisatie. Immers voor de zwakte in de IT-component bestaat (nog) geen verbetering (patch). Maar ondanks het ontbreken van de patch valt er toch wel wat tegen te doen maar is veelal afhankelijk van de aanval.

In december 2016 werd een Zero Day Exploit gepubliceerd die zich richtte op de SMB implementatie van Windows (Microsoft Windows SMB Remote Code Execution, MS17-010: CVE-2017-0143). Kort na bekendmaking publiceerde Laurent Gaffie een Proof-of-Concept code (Win10.py) voor Windows 10 op GithubDe mitigerende maatregel was uiteindelijk redelijk eenvoudig, blokkeren van het uitgaande SMB verkeer (TCP ports 139 en 445 en UDP ports 137 en 138).

Dat we Zero Day Exploits serieus moeten nemen zal niemand ontkennen maar opvallend is de massaliteit. Binnen enkele dagen is er een massale aanval waarneembaar, dit blijkt uit het aantal SMB-connecties die door de firewall zijn tegengehouden gedurende die periode.

Al lange tijd is er een levendige handel in Zero Days (zowel de kwetsbaarheid/vulnerability als de uitnutting/exploit ervan), waaronder:

  • Software leveranciers; De grotere software leveranciers betalen voor elke nieuwe kwetsbaarheid. De hoogte is afhankelijk van het risico maar kan oplopen tot zo’n $90.000, blijkt uit het artikel van Threatpost.
  • Handelaren; Ook bedrijven hebben hierin een nieuw verdienmodel ontdekt. Zo roept bijvoorbeeld Zerodium op om voor geld nieuwe kwetsbaarheden bij hun te melden.
  • Hackathons; Er worden bijeenkomsten georganiseerd waarbij teams uitgedaagd worden om Zero Days te vinden. Een bekende is Pwn2Own waarbij jaarlijks letterlijk tonnen aan prijzengeld wordt uitgekeerd.
  • Criminelen; Zero Days inclusief de bijbehorende Exploit worden voor veel geld verhandeld op de Dark Web. De prijzen zijn natuurlijk weer afhankelijk van de bruikbaarheid maar lopen als snel op naar zo’n $5.000.
  • Cyberlegers; Het is zeker dat deze vele Zero Days bezitten. Recent nog werden er een aantal Zero Days gepubliceerd die ontvreemd waren van de CIA.
Geplaatst in Security | Tags: , , | Een reactie plaatsen

The Cold Cyberwar has started (part 3: Russia)

Nepnieuws is trending topic. Brandpunt schrijft de actie toe aan een Russische nepnieuwsfabriek uit Sint-Petersburg. Deze min of meer amateuristische acties moeten we niet verwarren met de werkelijke intenties van het Russische cyberleger. Want naast spionage, politieke en maatschappelijke manipulatie is het zeer offensief van aard, dit blijkt wel uit hun palmares.

Ook wij, Nederland zal zeer alert moeten zijn en dan richt ik mij op onze vitale infrastructuur. Ik weet haast wel zeker dat de Russen deze vitale infrastructuur al lang in kaart hebben gebracht en dat ze precies weten waar onze zwakke plekken bevinden om zodra gewenst direct misbruik van te maken. Mogelijk gebeurt dit al eens op kleine schaal om zodoende een goed beeld te krijgen van onze detectieve en correctieve slagkracht.

Wij westerlingen zijn te laconiek en te naïef hierover. Dit blijkt wel uit de publicatie van de NAVO in juni 2016 waarin zij officieel cyber beschouwen als het vierde operationele domein. Sinds de komst van het Stuxnet-virus in 2010 zijn vele landen waaronder Rusland overtuigd van de kracht die schuilt in het cyberdomein.

We moeten het Russische cyberleger niet onderschatten want qua omvang en slagkracht bevinden zij zich na de Verenigde Staten en mogelijk China op de derde plaats van de cyberranglijst.

De lange lijst cyber activiteiten verraad hun werkelijke intenties. Onderstaande timeline is afkomstig NBCNews.

Datum Motivatie Slachtoffer
April – mei 2007 Vergelding doordat bekend werd dat Estland een oorlogsmonument uit de tweede wereld oorlog ter nagedachtenis van de gevallen Russische soldaat wilde verplaatsen.
    • Estland
    • Toegang tot het Internet en toegang tot verschillende en sites van financiële dienstverleners door middel van een DDoS-aanval
Juni 2008 Vergelding nadat de Litouwse overheid Russische symbolen wilde verbieden.
    • Litouwen
    • Verminking van verschillende overheidswebsites
Augustus 2008 Expansiedrift. Rusland valt Georgië aan. Dit is de eerste keer dat zowel land, zee, lucht en cyber aanvallen gelijktijdig plaats vinden.
    • Georgië
    • Toegang tot het Internet onmogelijk gemaakt
Januari 2009 Chantage. Om de president van Kirgizië te overtuigen een Amerikaanse militaire basis te verdrijven. Na de aanval werd de basis verwijderd en kreeg Kirgizië financiële steun.
    • Kirgizië
    • Twee van de vier Internetproviders waren onbenaderbaar door middel van een DDoS-aanval.
April 2009 Vergelding nadat de president van Kirgizië zich negatief uitliet over Rusland.
    • Kirgizië
    • DDoS-aanval op verschillende media sites.
Augustus 2009 Patriotisme. Viering van de Russische invasie welke op dat moment een jaar oud is.
    • Georgië
    • Twitter en Facebook zijn onbereikbaar.
Maart 2014 Expansiedrift. Rusland valt Oekraïne aan via land, zee, lucht en cyber.
    • Oekraïne
    • Toegang tot het Internet onmogelijk gemaakt door middel van een DDoS-aanval welke 32 maal groter was dan de aanval op Georgië.
Mei 2014 Verstoring en manipulatie van de verkiezingen en versterken van de pro-Russische kandidaat.
    • Oekraïne
    • Computersystemen t.b.v. de verkiezingen onbruikbaar gemaakt.
Mei 2015 Spionage en mogelijk manipulatie door infiltratie in het computernetwerk van de Bundestag en CDU (partij van Bondskanselier Angela Merkel).
    • Duitsland
    • Infiltratie in het computernetwerk van de Bundestag en CDU (partij van Bondskanselier Angela Merkel)
Juni 2015  – november 2016 Spionage en manipulatie door diefstal van persoonlijke emails van vooraanstaande leden van de Democratische partij en publicatie ervan op WikiLeaks om zodoende de verkiezingen te beïnvloeden (negatief voor Hillary Clinton en positief voor Donald Trump).
    • Verenigde Staten
    • Infiltratie in computersystemen van de Democratische partij.
Oktober 2015 Manipulatie van het MH17 onderzoek die belastend is voor Rusland en pro-Russische rebellen in Oekraïne.
    • Nederland
    • Infiltratie in computersystemen van de overheid.
December 2015 Expansiedrift. Door een cyberaanval op een Oekraïense energiecentrale kwamen 235.000 huishoudens zonder stroom te zitten.
    • Oekraïne
    • Infiltratie in computersystemen van een energiecentrale.
Januari 2016 Spionage door infiltratie in de computersystemen van Finse Ministerie van Buitenlandse Zaken.
    • Finland
    • Infiltratie in computersystemen.
December 2016 Manipulatie van de Duitse verkiezingen in 2017. En het imago van de zittende Bondskanselier Angela Merkel beschadigen.
    • Duitsland
    • Infiltratie in computersystemen en verspreiden van nepnieuws.

Be prepared

Geplaatst in Security | Tags: , , | Een reactie plaatsen

Mirai, part 3

Mirai heeft het cyberklimaat drastisch veranderd. Waar in het verleden bij een DDoS-aanval de meter niet verder uitsloeg dan 363 Gbps, is nu een aanval boven de 1 Tbps geen uitzondering meer. Een toename van zo’n 60%. Mirai heeft binnen een zeer kort tijdsbestek alle records op het gebied van DDoS gebroken.

Aanvallen die toegeschreven worden aan Mirai:

  • Op 19 september 2016 werd de Franse Internetprovider OVH meerdere malen door een DDoS-aanval onbereikbaar gemaakt. De omvang liep uiteen van 901 Gbps tot 1156 Gbps.
  • Op 20 september 2016 was de website van Brain Krebs, KrebsOnSecurity.com gedurende een dag niet meer bereikbaar, oorzaak was een DDoS-aanval. Omdat de website gebruik maakte van anti-DDoS-dienst van Akamai, weten we dat de aanval een omvang had van 620 Gbps, bijna een verdubbeling van de tot dan grootste door Akamai geregistreerde DDoS-aanval (363 Gbps). Brian Krebs gaat er van uit dat hier gebruik is gemaakt van een DDoS-as-a-Service.
  • 1 oktober 2016 werd de source code ‘Mirai’ verantwoordelijk voor de aanval, gepubliceerd op Github. Inmiddels zijn daar meerdere kopieën (forks) te vinden.
  • 21 oktober 2016 werd de Amerikaanse DNS provider DYN slachtoffer van een 1,2 Tbps DDoS-aanval. DYN biedt DNS-functionaliteit voor talrijke, veelal grotere en bekende websites, zoals Twitter, Amazon, Tumblr, Reddit, Spotify, Netflix, Github, The Guardian, CNN en AirBnB. Deze websites waren door de aanval niet meer vindbaar op het Internet waardoor de helft van het Internet onbereikbaar was.
  • Van eind oktober tot 3 november 2016 richtte een DDoS-aanval zich op een verwarmingscentrale van Valtia waardoor twee woonblokken in Lappeenranta Finland in de kou kwamen te zitten.
  • 6 november 2016 werd Donald Trump’s campagne-site aangevallen maar bleef uiteindelijk wel in de lucht. Duidelijk een actie van een tegenstander die gebruik maakte van een DDoS-as-a-Service dienst.
  • 7 november 2016 werd Hillary Clinton’s campagne-site aangevallen, ook deze bleef bereikbaar. Mogelijk wederom een tegenstander die zijn onvrede uitte door gebruik te maken van een DDoS-as-a-Service dienst.
  • 7 november 2016 werd WikiLeaks het slachtoffer. De site was 24 uur lang niet meer bereikbaar.
  • 8 tot 10 november 2016 werden 5 grote Russische banken aangevallen, waaronder Sberbank, Alfa-bank, the Moscow Exchange, the Bank of Moscow en Rosbank. De banken verklaarden dat haar klanten hiervan geen last hebben ondervonden. De DDoS-as-a-Service provider ‘vimproducts’ eiste de verantwoordelijkheid op.
  • 13 november 2016 werden twee de twee bedrijven die verantwoordelijk zijn voor de totale Internet infrastructuur van Liberia met een DDoS van 600 Gbps aangevallen. Gevolg hiervan was dat Liberia gedurende de aanval volledig afgesloten was van het Internet.
  • 12 december 2016, meer dan 900.000 klanten van ISP Deutsche Telecom konden niet meer het Internet benaderen omdat Mirai hun router onbruikbaar had gemaakt.
Mirai Botnet activity map

Mirai botnet activity map by https://intel.malwaretech.com/

Persoonlijk zie ik deze hele ontwikkeling als een voorbode voor wat er komen gaat. Mirai is enkel de opmaat. State-sponsorred criminelen hebben het ontwikkeld en al enkele keren gebruikt, immers de aanval op Deutsche Telecom wordt betrokkenheid van Rusland verweten. Door het publiekelijk beschikbaar te stellen, maken ze gebruik van de community om het verder te ontwikkelen en hun eigen optreden te vertroebelen immers een botnet verstop je het best in een woud van botnets. Het uiteindelijke doel zal zijn het lam leggen van vitale infrastructuren. Maar dit is enkel speculatie.

Geplaatst in Security | Tags: , , | Een reactie plaatsen

Mirai, 5 mitigating rules

Hang op, klik weg en check je router (in 5 stappen).

Botnets maken gebruik van de zwakste schakels op het Internet en zullen deze zeker voor enige tijd vinden in het Internet of Things domein. Een van de populairste botnets van vandaag is het Mirai botnet (zie mijn vorige blog).

Maatregel 1: Pas je wachtwoord aan

  • Mirai maakt gebruik van slecht of beter gezegd niet geconfigureerde IoT-componenten door gebruik te maken van de standaard gebruikersnaam/wachtwoord.

Maatregel 2: Disable all management access via WAN (at least Telnet port 23)

  • Mirai benadert de componenten via Telnet over poort 23.

Maatregel 3: Zet je component (of firewall) in stealth-mode.

  • Meer ‘sophisticated’ botnets gaan opzoek naar kwetsbaarheden in een bepaald type component van een leverancier. Eenmaal gevonden wordt het Internet afgezocht naar identieke componenten. De zoekmachine Shodan.io faciliteert de cybercrimineel hierin, het toont alle componenten die via het Internet benaderbaar zijn.

shodan

Maatregel 4: Update je router

  • Veel mensen hanteren het adagium ‘if it ain’t broken, dont fix it. Maar dit is een 20ste eeuwse houding. Patchen is absoluut noodzakelijk. Helaas ben je hier wel áfhankelijk van de bereidheid van je leverancier.

Maatregel 5: Controleer je router op kwetsbaarheid

Be aware and be prepared.

Geplaatst in Security | Tags: , , | Een reactie plaatsen

Mirai the Botnet of Things

Botnet Mirai rocks the Internet. Het legde op vrijdag 21 oktober 2016 een groot deel van het Internet plat, door een DDoS-aanval uit te voeren op DNS-provider Dyn.com. Ik durf de bewering aan dat het hier gaat om volledig geregisseerde aanval. Time for a deep dive.

Timeline

  • 20 september 2016, DDoS-aanval op de website van security journalist Brian Krebs, KrebsOnSecurity.com. De aanval, 620 Gbps was recordbreaking op dat moment, namelijk twee maal groter dan de grootste. Hier krijgt Mirai (Japans voor toekomst) publieke bekendheid.
  • 20 september 2016, DDoS-aanval op hosting provider OVH.com met een nieuw record van 1 Tbps.
  • Hackforums30 september 2016, op Hackforums.net publiceert een member ‘Anna-senpai‘ de broncode en geeft uitleg bij de werking er van. De member hanteert een avi van de manga figuur Anna Nishikinomiya die een hoofdrol speelt in de Japanse serie ‘Shimoseka’, wat zich afspeelt in de toekomst en zich richt op moraliteit.
  • 1 oktober 2016 komt de broncode ook (inmiddels vele malen) beschikbaar via Github, waaronder door member JGamblin.
  • 10 oktober 2016, onderzoekers van RSA maken melding van een IoT-botnet te huur wordt aangeboden op tor-based AlphaBay.
  • 21 oktober 2016, een DDoS-aanval op DNS-provider Dyn.com waardoor vele populaire websites als Amazon, Paypal, Twitter, Spotify, Reddit, Soundcloud, The New York Times, GitHub, AirBnB en vele anderen onbereikbaar zijn. De aanval werd opgezet door zo’n 50.000 tot 100.000 door Mirai geïnfecteerde IoT-apparaten (20% van het totaal, schatte Dale Drew CTO van Level 3).
  • 22 oktober 2016. Op Twitter is een account aangemaakt (@MiraiAttacks) die de aanvallen van Mirai in haast realtime twittert.

Broncode
Het botvirus is geschreven in C en de CnC in Go. Om het te kunnen compileren zullen er eerst verschillende cross compilers geïnstalleerd moeten worden. Hieruit mogen we concluderen dat apparatuur die een dergelijke CPU/architectuur bevatten potentieel besmet kunnen worden met het bot-virus.

  • i586 (Vortex86DX), mipsmipselarmv4l (waaronder Raspberry), armv5larmv6lpowerpc (Apple), sparc (Sun), m68k (Motorola), sh4 (SuperH).

Werking
Het Internet wordt afgezocht naar te besmetten IoT-apparaten op basis van genoemde CPU-architectuur. Het ‘virus’ is weinig intelligent. Het maakt geen gebruik van zero-days of populaire kwetsbaarheden, maar zoekt verbinding via telnet en probeert met een default gebruikersnaam en wachtwoord aan te melden. In de broncode is een waslijst aan gebruikersnaam / wachtwoord combinaties opgenomen.

Mirai_Scanner.c

Zodra het botvirus ‘binnen’ is, zet hMirai logon pageet een verbinding op met de CnC. Hiervoor worden poorten 23 en 101 gebruikt waarbij poort 23 gebruikt wordt voor de besturing en poort 101 voor API management. Het eerste bericht bevat de identificatie van het botvirus. De CnC zal het botvirus registreren in zijn SQL database. Gedurende de besmetting zal het botvirus een “I’m alive/heartbeat” sturen naar de CnC. Meer gedetailleerde uitwerking van de berichten zijn te vinden op de website van Ixia.

DDoS-aanval
Vanuit de CnC-server wordt de opdracht gegeven om een DDoS-aanval te gaan opzetten. De gebruiker heeft nog de keuze uit een reeks verschillende type DDoS-aanvallen, waaronder:

  • UDP flood“, “Valve source engine specific flood“, “DNS resolver flood“,
    SYN flood“, “ACK flood“, “TCP stomp flood“, “GRE IP flood“, “GRE Ethernet flood“, “UDP flood” en “HTTP flood“.

Verspreiding en activiteit
Doordat de broncode openbaar via Github gepubliceerd is, neemt het aantal botnets en Command & Control servers nog altijd toe. Verschillende websites bieden inmiddels realtime botnettrackers, zoals bijvoorbeeld Intel.

Mirai-Botnet-tracker

Food for Conspiracy-denkers
Het is geen toeval dat de aanval begon met een aanval op ‘KrebsOnSecurity. Dit moet deel hebben uitgemaakt van een ‘hoger’ plan, namelijk direct alle aandacht opvragen. Ook de broncode publiceren maakt hier deel van uit. Vele cybervandalen zullen er gelijk gebruik van maken wat het totaal beeld diffuus maakt. Vervolgens wordt op geraffineerde wijze Dyn.com aangevallen en wisten de vandalen hiermee een groot deel van het Internet plat te leggen. NBC News verdenkt Noord Korea van de aanval omdat zij samen met andere Eastliners (Iran, Syrië, etc.) graag vitale infrastructuren in de Verenigde Staten lam leggen.

Geplaatst in Security | Tags: , , | 3 reacties