Mirai the Botnet of Things

Botnet Mirai rocks the Internet. Het legde op vrijdag 21 oktober 2016 een groot deel van het Internet plat, door een DDoS-aanval uit te voeren op DNS-provider Dyn.com. Ik durf de bewering aan dat het hier gaat om volledig geregisseerde aanval. Time for a deep dive.

Timeline

  • 20 september 2016, DDoS-aanval op de website van security journalist Brian Krebs, KrebsOnSecurity.com. De aanval, 620 Gbps was recordbreaking op dat moment, namelijk twee maal groter dan de grootste. Hier krijgt Mirai (Japans voor toekomst) publieke bekendheid.
  • 20 september 2016, DDoS-aanval op hosting provider OVH.com met een nieuw record van 1 Tbps.
  • Hackforums30 september 2016, op Hackforums.net publiceert een member ‘Anna-senpai‘ de broncode en geeft uitleg bij de werking er van. De member hanteert een avi van de manga figuur Anna Nishikinomiya die een hoofdrol speelt in de Japanse serie ‘Shimoseka’, wat zich afspeelt in de toekomst en zich richt op moraliteit.
  • 1 oktober 2016 komt de broncode ook (inmiddels vele malen) beschikbaar via Github, waaronder door member JGamblin.
  • 10 oktober 2016, onderzoekers van RSA maken melding van een IoT-botnet te huur wordt aangeboden op tor-based AlphaBay.
  • 21 oktober 2016, een DDoS-aanval op DNS-provider Dyn.com waardoor vele populaire websites als Amazon, Paypal, Twitter, Spotify, Reddit, Soundcloud, The New York Times, GitHub, AirBnB en vele anderen onbereikbaar zijn. De aanval werd opgezet door zo’n 50.000 tot 100.000 door Mirai geïnfecteerde IoT-apparaten (20% van het totaal, schatte Dale Drew CTO van Level 3).
  • 22 oktober 2016. Op Twitter is een account aangemaakt (@MiraiAttacks) die de aanvallen van Mirai in haast realtime twittert.

Broncode
Het botvirus is geschreven in C en de CnC in Go. Om het te kunnen compileren zullen er eerst verschillende cross compilers geïnstalleerd moeten worden. Hieruit mogen we concluderen dat apparatuur die een dergelijke CPU/architectuur bevatten potentieel besmet kunnen worden met het bot-virus.

  • i586 (Vortex86DX), mipsmipselarmv4l (waaronder Raspberry), armv5larmv6lpowerpc (Apple), sparc (Sun), m68k (Motorola), sh4 (SuperH).

Werking
Het Internet wordt afgezocht naar te besmetten IoT-apparaten op basis van genoemde CPU-architectuur. Het ‘virus’ is weinig intelligent. Het maakt geen gebruik van zero-days of populaire kwetsbaarheden, maar zoekt verbinding via telnet en probeert met een default gebruikersnaam en wachtwoord aan te melden. In de broncode is een waslijst aan gebruikersnaam / wachtwoord combinaties opgenomen.

Mirai_Scanner.c

Zodra het botvirus ‘binnen’ is, zet hMirai logon pageet een verbinding op met de CnC. Hiervoor worden poorten 23 en 101 gebruikt waarbij poort 23 gebruikt wordt voor de besturing en poort 101 voor API management. Het eerste bericht bevat de identificatie van het botvirus. De CnC zal het botvirus registreren in zijn SQL database. Gedurende de besmetting zal het botvirus een “I’m alive/heartbeat” sturen naar de CnC. Meer gedetailleerde uitwerking van de berichten zijn te vinden op de website van Ixia.

DDoS-aanval
Vanuit de CnC-server wordt de opdracht gegeven om een DDoS-aanval te gaan opzetten. De gebruiker heeft nog de keuze uit een reeks verschillende type DDoS-aanvallen, waaronder:

  • UDP flood“, “Valve source engine specific flood“, “DNS resolver flood“,
    SYN flood“, “ACK flood“, “TCP stomp flood“, “GRE IP flood“, “GRE Ethernet flood“, “UDP flood” en “HTTP flood“.

Verspreiding en activiteit
Doordat de broncode openbaar via Github gepubliceerd is, neemt het aantal botnets en Command & Control servers nog altijd toe. Verschillende websites bieden inmiddels realtime botnettrackers, zoals bijvoorbeeld Intel.

Mirai-Botnet-tracker

Food for Conspiracy-denkers
Het is geen toeval dat de aanval begon met een aanval op ‘KrebsOnSecurity. Dit moet deel hebben uitgemaakt van een ‘hoger’ plan, namelijk direct alle aandacht opvragen. Ook de broncode publiceren maakt hier deel van uit. Vele cybervandalen zullen er gelijk gebruik van maken wat het totaal beeld diffuus maakt. Vervolgens wordt op geraffineerde wijze Dyn.com aangevallen en wisten de vandalen hiermee een groot deel van het Internet plat te leggen. NBC News verdenkt Noord Korea van de aanval omdat zij samen met andere Eastliners (Iran, Syrië, etc.) graag vitale infrastructuren in de Verenigde Staten lam leggen.

Advertenties

Over Ramses Sloeserwij

Visionairy on Security ● Cybercrime ● Architecture ● Identity & Access Management ● Compliance ● Risk Management ● Governance ● Mobile Security ● Technical Infrastructure
Dit bericht werd geplaatst in Security en getagged met , , . Maak dit favoriet permalink.

3 reacties op Mirai the Botnet of Things

  1. Wim Broer zegt:

    Hallo Ramses,

    Je hebt er een mooie casus beschrijving van gemaakt! Na lezing kreeg ik het idee om er een game van te maken omdat ik met een aantal anderen een game platform heb gebouwd. Zullen we een keer afspreken om bij te praten en dat te verkennen?

    Wim Broer

    Drs. Wim Broer Stichting IPEEK Brotherwise Ltd. Jan Steenlaan 55 1412 JT Naarden 0031 653 387730

    >

  2. Pingback: Mirai, 5 mitigating rules | The Sloeserwij Files

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s