Malware Mirai : encore 500 000 appareils contaminés, la relève arrive déjà

Malware Mirai : encore 500 000 appareils contaminés, la relève arrive déjà

Rien ne se fera par magie

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

28/10/2016 4 minutes
45

Malware Mirai : encore 500 000 appareils contaminés, la relève arrive déjà

Le malware Mirai n’est pas mort, loin de là. Selon la société Arbor Networks, il contamine toujours des centaines de milliers d’objets connectés. Des variantes améliorées ont même fait surface, bâties sur un code source qui avait été publié le mois dernier.

Mirai était au cœur des vastes attaques distribuées par déni de service (DDoS) qui ont secoué le web dernièrement, particulièrement contre Dyn. On a pu voir ainsi des dizaines de sites parmi les plus importantes devenir inaccessibles pendant plusieurs heures. Des défenses ont été érigées, des analyses ont été faites et des rappels de caméras IP ont même été lancés, mais Mirai est toujours là.

Encore un demi-million d'appareils contaminés par Mirai

Selon la société Arbor Networks, 500 000 objets connectés sont toujours activement contrôlés par Mirai. Un chiffre obtenu avec ses propres outils de mesure. Tous ces appareils communiquent la plupart du temps via les ports TCP 23 et 2323 pour des appels Telnet. L’idée est bien sûr de pouvoir tester une communication avec un firmware intégrant un mot de passe n’ayant pas été changé. On rappellera que dans certains cas, ces identifiants sont inscrits en dur et ne peuvent même pas être modifiés.

Toujours selon Arbor, de fortes « concentrations de nœuds Mirai » sont présentes en Chine, à Hong-Kong, à Macao, au Vietnam, à Taïwan, en Corée du Sud, en Thailande, en Indonésie, au Brésil et en Espagne. Ces « lots » ne se désagrègent pas, la société expliquant que les centaines de milliers d’appareils forment des botnets qui scannent Internet à la recherche de victimes. En d’autres termes, si un appareil est redémarré, il est à nouveau capturé en moins de dix minutes.

Des variantes déjà détectées

Or, ces chiffres ne concernent que la menace Mirai initiale, dont le code source a été publié à la fin du mois dernier. Depuis, cette « libération » a eu les effets redoutés : des groupes de pirates s’en sont emparés et ont commencé à travailler sur ce socle. Résultat, des variantes de Mirai sont déjà apparues, et elles ne possèdent pas forcément les faiblesses du modèle original.

Arbor indique que ces menaces sont aussi réelles que la première version de Mirai. Il a d’ailleurs repéré au moins une variante active du malware, identifiée à cause des similitudes dans les méthodes d’attaque DDoS, mais avec des capacités « altérées ».

Les entreprises doivent surveiller le trafic de leur réseau

La société confirme évidemment ce que l’on savait déjà : tant que les entreprises possédant les appareils touchés ne font rien, il sera difficile de remédier à la situation. Elles doivent mettre en place une surveillance pour détecter l’éventuelle présence du malware dans leur infrastructure, notamment en surveillant l’activité sur les ports TCP 23 et 2323. Idéalement, elles doivent isoler les appareils concernés et contacter le fabricant.

Il existe également des solutions plus radicales, comme introduire des limitations pour les communications sur ces deux ports. Arbor indique que ce type de manipulation n’est pas adapté à tous les cas et que chaque entreprise devra mesurer le ratio avantages-inconvénients.

Une industrie en attente de sursaut

Le cas de Mirai, qui est probablement loin d’être terminé, est suffisamment « violent » pour espérer un sursaut de l’industrie concernée. De nombreuses sociétés de sécurité prédisent depuis longtemps que les objets connectés ne peuvent que finir contaminés par des malwares si la sécurité n’est pas prise au sérieux.

Beaucoup pensaient que les capacités limitées de ces appareils interdiraient de fait une prise de contrôle, mais ces objets ont parfois de véritables systèmes d’exploitation, souvent basés sur Linux. Et le problème n’est pas tant qu’un système ou un autre soit choisi, mais bien l’absence de mise à jour, soit parce qu’elles ne sont pas proposées par le constructeur, soit parce que l’entreprise cliente ne les installe pas. Il reste donc encore du chemin à parcourir pour que l’industrie réagisse, comme les éditeurs de logiciels avant eux.

45

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Encore un demi-million d'appareils contaminés par Mirai

Des variantes déjà détectées

Les entreprises doivent surveiller le trafic de leur réseau

Une industrie en attente de sursaut

Commentaires (45)


mon p’tit doigt me dit qu’on est loin d’en avoir fini, en effet <img data-src=" />



(sinon, marrant comme chaque fois que je lis le nom Mirai, j’entends l’intro de Judge Dredd* “le fûtûûûr…”)



*je crois que c’est Judge Dredd

le vrai, celui avec Stallone








WereWindle a écrit :



mon p’tit doigt me dit qu’on est loin d’en avoir fini, en effet <img data-src=" />



(sinon, marrant comme chaque fois que je lis le nom Mirai, j’entends l’intro de Judge Dredd* “le fûtûûûr…”)



*je crois que c’est Judge Dredd

le vrai, celui avec Stallone







Moi ca me fait penser à Mirai Nikki <img data-src=" />

Un anime au moins aussi dérangeant que cette attaque massive…









CryoGen a écrit :



Moi ca me fait penser à Mirai Nikki <img data-src=" />

Un anime au moins aussi dérangeant que cette attaque massive…





Très bon anime en passant <img data-src=" />





Tous ces appareils communiquent la plupart du temps via les ports TCP 23 et 2323 pour des appels Telnet

Les ports 23 et 2323 &nbsp;sont rarement ouverts vers ces périphériques non? je vois pas trop comment le botnet attaque ces appareils.








eglyn a écrit :



Les ports 23 et 2323 même sur les box sont rarement ouverts par défaut, je vois pas trop comment le botnet attaque ces appareils.





En dehors de la France les box sont pas si répandues



Pour une fois windows n’est pas touché. Quel logiciel gratuit je peut utiliser pour faire du monitoring du réseau ?


Beaucoup de routeurs dans le monde ont l’UPnP activé par défaut… donc cela ouvre les ports tout seul sur internet ;-)








metaphore54 a écrit :



Pour une fois windows n’est pas touché. Quel logiciel gratuit je peut utiliser pour faire du monitoring du réseau ?





Wireshark avec du port mirroring pour tout choper, mais ça va te faire de la lecture&nbsp;<img data-src=" />



Comme bien souvent, par la présence de postes vérolés à l’intérieur même du réseau faisant office de passerelle, du fait d’utilisateur non précautionneux.

Souvent on ne comprends pas comment on&nbsp; peut être touché par telle ou telle faille parce qu’on est derrière son firewall ou son nat, mais les personnes faisant ce type d’agissement ne sont pas juste équipé de leur variante du botnet X ou Y.

Ils utilisent outils complémentaires pour la propagations, multiples et que l’on peut assez facilement “louer” à d’autres.








metaphore54 a écrit :



Pour une fois windows n’est pas touché. Quel logiciel gratuit je peut utiliser pour faire du monitoring du réseau ?





BoiteNoire by Valls v0.1









WereWindle a écrit :



*je crois que c’est Judge Dredd

le vrai, celui avec Stallone







L’autre, sorti en direct to DVD, est plutôt un bon film. Et je dirai plus fidèle à l’univers de Dredd que celui avec Stallone (même si j’apprécie aussi ce film) <img data-src=" />



Ca dépend ce que tu veux monitorer.

Un vieux qui marche encore et qui te montre l’utilisation des différentes liaisons réseaux c’est “The Dude” de microtik.

Avantages :




  • très facile à installer & paramétrer

  • gratuit

  • monitoring sous forme de carte (je n’en ai pas vu qui avaient la même fonction)

  • affichage en temps réel de l’utilisation du réseau et des équipements connectés ou non.



    Inconvénients :

  • la dernière version de Windows date de 2004

  • n’a pas toutes les options d’un CentOS par exemple


Ca fait flipper.


Il existe une liste de ces fameux objets connectés ?&nbsp;


Le plus simple reste:




  • De virer tout usage d’UPNP

  • De bloquer les connexions sortantes sur les ports incriminés*



    * La limite étant que rien n’indique que les calls se limitent au ports 23 et 2323 mais aussi que le malware est polymorphique et pourra donc faire évoluer son comportement en fonction des défenses mises en place.



    Bref, tout ceci n’est que le début: Entre les objets connectés et les millions de smartphones (majoritairement Android) jamais maintenu, ça va devenir sympa.


Si je me souviens un peu de mes cours de réseau, un port 23, 80 ou 256 c’est exactement la même chose, c’est juste que par “norme” qu’on a dit que le 80 serait pour HTTP, le 23 pour telnet etc.. etc..



Et qu’en théorie on peut configurer une machine pour que HTTP passe par le port 23.



Du coup je comprend pas ce que ça change de surveiller un port en particulier, le malware pourrait tout aussi bien communiquer sur tout les autres port?

Ou bien j’ai zappé un élément?


Il s’agit juste des résultats d’une analyse comportementale de quelques infections avérées. Mais en réalité, elle est déjà incomplète car les ports 22, 80 et 443 sont également utilisés. Un article assez complet sur l’analyse technique de Mirai est dispo ici:



https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html



Mais comme dit précédemment, les réseaux C&C permettent également la mise à jour du code pour modifier le comportement et ainsi maintenir les infections ad vitam.


La porte d’entrée de la faille est sur le 232323,

celle là ne peut pas changer avant que le malware soit là.


Oui, ce que tu as raté, c’est que le port se paramètre des deux cotés pour une communication. Si le malware essaye de communiquer sur un autre port que le 23, il faut aussi que l’appareil connecté écoute sur ce même port. Et comme ils sont paramétrés pour le 23, le malware n’a pas le choix et doit s’aligner.



Sinon, les entreprises qui commercialisent ces appareils devraient être responsable, j’espère qu’une plainte finira par leur arriver dans la gueule.








maestro321 a écrit :



Si je me souviens un peu de mes cours de réseau, un port 23, 80 ou 256 c’est exactement la même chose, c’est juste que par “norme” qu’on a dit que le 80 serait pour HTTP, le 23 pour telnet etc.. etc..



Et qu’en théorie on peut configurer une machine pour que HTTP passe par le port 23.



Du coup je comprend pas ce que ça change de surveiller un port en particulier, le malware pourrait tout aussi bien communiquer sur tout les autres port?

Ou bien j’ai zappé un élément?







Il faut faire attention au port utilisé pour faire transiter le flux, et le port sur lequel le flux est récupéré.



En l’occurrence, tu peux envoyer ce que tu veux sur n’importe quoi, à ceci près que le destinataire doit être en “écoute” sur ce port sinon c’est juste drop et ça ne fait rien.



Ici les objets en question de ce constructeur utilisent les ports 23 et 2323 par défaut pour les administrer j’imagine, et ce sont donc eux qui sont les cibles d’attaques. (Les objets “écoutent” sur ces ports en attendant une communication) et ils font du brut force dessus avec des mots de passe pour atteindre l’administration et s’installer.



-&gt; Une fois l’infection établi, il peut communiquer sur le port qu’il veut, à ceci près que ça va nécessiter plus de programmation/changement de Firmware si ce n’est pas prévu à l’origine (Si c’est base Linux, potentiellement tout est possible cela-dit )



Ps : Tu peux regarder les ports ouverts sur ton poste avec un “netstat -a” sur un invité de commande (CMD), tous ceux indiqué en “Listening” indique un service/logiciel sur ta machine qui écoute dessus.



Established indique souvent que c’est ta machine qui a créée une connexion (Port élevé supérieur à 20k souvent) vers un serveur (HTTP vers 80, SSH ou HTTPS 443 etc) / Ou que quelqu’un communique avec un service sur ta machine (Souvent port bas, si tu as un serveur web, le 80 etc)



Pas gagné d’avance : les consoles de jeux ont besoin d’uPNP pour démarrer des sessions multiplayer, surtout quand il y a plusieurs consoles dans la maison.

Une console, on peut ouvrir des ports pour elle dans le routeur/firewall

2 et plus on ne peut pas, même avec des firewall matériels évolués, sauf à y mettre des prix de fou.


Même en IP V6 ?


Avec l’arrivée progressive de l’IP V6 et l’explosion des objets connecté le DDOS a encore de beaux jours devant lui.



&nbsp;D’ailleurs, l’arrivée du successeur de l’IPV4 aurait pu être une bonne occasion de

mettre au point des protocoles/normes pour limité le DDOS mais apparemment rien n’a été prévu.


Honnêtement je n’en sais rien. Mon routeur ne gère pas l’IPv6 pour tester.

Et si je me fie aux jeux actuels sur console, l’IPv6, je ne crois pas que ce soit actif non plus.








-Zou- a écrit :



Avec l’arrivée progressive de l’IP V6 et l’explosion des objets connecté le DDOS a encore de beaux jours devant lui.



Ça va changer quoi IPV6?



&nbsp;





-Zou- a écrit :



&nbsp;D’ailleurs, l’arrivée du successeur de l’IPV4 aurait pu être une bonne occasion de

mettre au point des protocoles/normes pour limité le DDOS mais apparemment rien n’a été prévu.





Comment tu veux limiter un DDOS? Le principe d’un DDOS c’est d’envoyer un max de requêtes d’un maximum de sources, comment tu veux bloquer ça au niveau réseau? et surtout, comment tu veux faire la différence entre des requêtes normales et celles d’un DDOS?



C’est un coup de test … la suite va devenir plus … trash.

<img data-src=" />


“Le cas de Mirai, qui est probablement loin d’être terminé, est suffisamment « violent » pour espérer un sursaut de l’industrie concernée. De nombreuses sociétés de sécurité prédisent depuis longtemps que les objets connectés ne peuvent que finir contaminés par des malwares si la sécurité n’est pas prise au sérieux.”



industrie concernée …donc toutes !



sociètè de secu qui ont interet a ce que tout cela existe …..<img data-src=" />


infection interne : tout est ouvert en sorti ou sur ton lan


oui elle s’appelle kernel 2.0 … <img data-src=" />


oui tu a zappé des trucs …



MAIS oui on passe ce qu’on veu sur n’importe quel port


une plainte ???



alors tu peux accuser tout le monde a commencer par tous les etats !!


foutez vos iot derriere vos box et vos data derrieres VOTRE parefeu a vous.

Laissez la merde aux FAI et autre constructeurs


+1, IPv6 sera même pire … à croire qu’il ya une volonté de ne plus avoir de vie privée pa les gars del’IETF !!!


ca se bloque mon canard. Faut juste bien designé ton infra.








ledufakademy a écrit :



ca se bloque mon canard. Faut juste bien designé ton infra.





Oui mais c’est pas IPv6 qui va résoudre ça, premièrement parce que c’est pas son rôle.



&nbsp;





ledufakademy a écrit :



+1, IPv6 sera même pire … à croire qu’il ya une volonté de ne plus avoir de vie privée pa les gars del’IETF !!!





https://tools.ietf.org/search/rfc4193



on est d’accord.



la page : Object not found!



cahttp://www.bortzmeyer.org/4193.html ?



IPv6 j’ai commencé à m’y mettre mais pas de pratique pour l’instant ya trop de galère avec les sites non ipv6


exemple de ce qui aurait pu etre fait :



On marque l’annonce BGP avec une communauté (RFC 1997) qui veut dire « poubelle donc tout ce trafic ». Ce nouveau RFC normalise une communauté standard, « bien connue », pour cela, BLACKHOLE (0xFFFF029A)

On sacrifie une ip mais l’infra ne tombe pas








ledufakademy a écrit :



on est d’accord.



la page : Object not found!



cahttp://www.bortzmeyer.org/4193.html ?



IPv6 j’ai commencé à m’y mettre mais pas de pratique pour l’instant ya trop de galère avec les sites non ipv6



Bizarre le lien fonctionne chez moi.

Oui c’est ça la RFC.



&nbsp;





ledufakademy a écrit :



exemple de ce qui aurait pu etre fait :



On marque l’annonce BGP avec une communauté (RFC 1997) qui veut dire « poubelle donc tout ce trafic ». Ce nouveau RFC normalise une communauté standard, « bien connue », pour cela, BLACKHOLE (0xFFFF029A)

On sacrifie une ip mais l’infra ne tombe pas





L’infra ne tombe pas, mais le site est inaccessible non?



non si il est cloudflaré, ou mirroré sur plus d’un site.

seul l’ip ciblée tombera pas les autres . apres faut voir la partie dns …


… et surtout que amazon est foutu ses oeufs dans le même panier cela en dit long sur les Datcenter /Cloud ….



Le jour ou les infra cloud seront backdooré/troyen on va bien rire ….

Mon petit doigt me dit que cela est fait, et que les joueurs attendent juste le bon moment pour avancer les pions .


… curieusement chez Google , rien … nada.



un peu comme Israël avec Daesh : pas une seule fois inquiété !


heu lala c’est tout la faute des mises a jour…

&nbsp;treeemblez, vous m’entendez que ma voix, mises a jour, mises a jour, mises a jour, vous ne voyez plus rien, juste les mises a jour , mises a jour , mises a jour, maintenant vous ne sentez plus rien et n’entendez que ma voix “miiise a jouuur, mises a jouuuur, miiiiises àààà jouuuur”.

&nbsp;

Dommage, ça aurait pu être un article de rédacteur correct pour une fois.

&nbsp;quand je dirais quatre vous vous réveillerez&nbsp;

1

2

3

Quatre !








Khalev a écrit :



https://tools.ietf.org/search/rfc4193





Ce qui compte c’est qu’elles ne soient pas excpeted to be n’est ce pas ?

Donc elle seront pas . c’est pas comme si techniquement l’implémentation avait ete laissée ouverte. La RFC va l’empêcher. Vive Bortz !



oui j’ai bien aimé aussi mais ma préférence va quand même à l’ancien (qui a plus un côté “pulp”… plus ‘crade’ dans l’image que le remake) <img data-src=" />