Une étude révèle les entrailles du botnet Mirai

Une étude révèle les entrailles du botnet Mirai

admin/123456

Avatar de l'auteur
Kevin Hottot

Publié dans

Internet

24/08/2017 7 minutes
24

Une étude révèle les entrailles du botnet Mirai

Une équipe de chercheurs de tous horizons s'est penchée sur l'historique du botnet Mirai, qui a paralysé une partie du Net américain en s'attaquant à l'infrastructure de Dyn, en octobre. Selon eux, l'entreprise américaine n'était pas la cible principale.

Depuis sa première apparition l'an dernier, Mirai a fait couler beaucoup d'encre. Sous ce nom, on retrouve d'abord un malware, qui a servi à infecter plusieurs centaines de milliers d'appareils connectés, notamment des routeurs et passerelles cellulaires, pour coordonner des attaques DDoS sur diverses cibles, grâce au botnet ainsi formé.

La plus spectaculaire a été dirigée le 21 octobre contre l'infrastructure de Dyn, qui gère les « zones DNS » de nombreux sites, notamment américains. Avec des pointes autour de 1 Tb/s, le service a été saturé pendant deux heures, rendant difficile d'accès des pans entiers du Net américain. 

Près d'un an plus tard, un groupe de 19 universitaires et experts de diverses entreprises, telles qu'Akamai, Cloudflare ou Google ont publié les résultats d'une étude visant à déterminer l'origine de cette attaque, ainsi que sa cible réelle, dans le cadre de la conférence Usenix, qui se tenait la semaine dernière. 

Anatomie d'un botnet

Dans leurs travaux, les chercheurs relèvent que les premières infections remontent au 1er août 2016. Dans les 20 premières heures de son existence, il touche déjà 65 000 appareils, avant de stabiliser sa population entre 200 000 et 300 000 machines zombies. 

Mirai propagation
Historique de la propagation mesurée de Mirai

En plus de passerelles cellulaires, des caméras IP, des routeurs, des imprimantes et même des enregistreurs vidéo ont été touchés. Selon les chercheurs, la composition du réseau ainsi formée a été « largement influencée par les parts de marché et les décisions prises à la conception par un certain nombre de fabricants ». Des caméras IP du fabricant chinois XiongMai ont été rappelées en urgence suite à l'attaque, le mot de passe étant écrit en dur dans le code.

En d'autres termes, le malware était destiné à des cibles faciles d'accès et peu protégées. Dans le cas des caméras IP par exemple, elles sont souvent fournies avec un mot de passe par défaut aisé à deviner, ce qui en facilite grandement l'accès. 

Le malware en lui-même comprenait d'ailleurs une liste de mots de passe paramétrés par défaut sur certains types d'appareils. Dès qu'un terminal est infecté, il scanne le réseau autour de lui à la recherche d'autres victimes potentielles. Une fois la nouvelle cible trouvée, il tente d'établir une connexion en choisissant aléatoirement 10 paires utilisateur/mot de passe parmi celles inscrites dans son code. Si l'opération réussit, les informations nécessaires à son contact sont transmises à un serveur, qui ordonne ensuite l'infection.

Mirai mots de passe
Liste de 46 mots de passe par défaut incluse dans le code source de Mirai au 30 septembre 2016

Les appareils touchés se trouvent par ailleurs dans un répertoire relativement limité de zones géographiques. « Le Brésil, la Colombie et le Vietnam comptent pour 41,5 % des infections », calculent les chercheurs. Une part disproportionnée au regard de la quantité d'objets connectés installés dans ces pays. 

Les traces des attaques

Pendant les cinq mois d'existence du botnet, les chercheurs ont relevé 15 194 attaques DDoS distinctes, menées avec Mirai, visant 5 046 victimes. Dans le détail, 93,7 % du temps, une IP unique était ciblée, les assauts contre des sous-réseaux pèsent pour 3,9 % du total, tandis que ceux contre des noms de domaine pour seulement 2,4 %. 

Parmi les cibles, si l'on parle souvent de Dyn qui a subi l'assaut le plus visible, d'autres sites moins connus ont subi le plus gros des attaques. Ainsi, 616 assauts ont été portés contre Lonestar Cell, un opérateur téléphonique au Liberia. Des assauts répétés qui ont pendant un temps laissé entendre qu'ils avaient réussi a perturber dans son ensemble la connectivité à Internet du pays, ce que les chercheurs n'ont pas été en mesure de pouvoir vérifier. 

On note encore 318 autres attaques sur Sky Network, une grappe de serveurs Minecraft au Brésil. Un blog russe sur la cuisine a quant à lui dû essuyer 157 vagues différentes.

L'équipe a identifié 33 clusters distincts, c'est-à-dire des infrastructures indépendantes, potentiellement pilotés par des groupes de pirates différents. Le plus important, qui a attaqué Dyn et des services de jeux vidéo, aurait contenu au maximum 61 440 machines zombies, quand le deuxième (considéré comme l'original, derrière les attaques de Krebs on Security et OVH) affichait un pic de 58 335 bots. Les experts notent que les serveurs contrôlant ces réseaux sont pour la plupart apparus des semaines avant d'être liés au botnet. Pour eux, une analyse fine du DNS permettrait d'identifier en amont ces ressources pour prévenir les attaques.

Dyn n'était probablement pas la cible principale

Les chercheurs se sont particulièrement penchés sur le cas emblématique de Dyn. Ils sont parvenus à confirmer la version du déroulement de l'attaque fournie par l'entreprise, constatant 21 courtes attaques d'environ 25 secondes, suivies par d'autres, soutenues pendant une heure puis cinq heures puis encore dix heures. Toutefois, les assauts n'étaient pas uniquement dus à Mirai. Seules 71 % des IP qui ont attaqué Dyn seraient liées au botnet. 

Par ailleurs, si les premiers assauts visaient clairement Dyn, les suivants montraient que plusieurs autres cibles étaient au menu. Parmi elles, on retrouve le PlayStation Network, le Xbox Live et l'infrastructure DNS de Microsoft. Les serveurs de jeu Nuclear Fallout étaient également dans le collimateur de Mirai, tout comme ceux de Steam. Les attaquants semblaient donc viser des infrastructures de jeu en ligne, et Dyn, en tant que prestataire de la plupart des services cités, aurait donc encaissé de gros dommages collatéraux, avec les conséquences que l'on connait.

Comment endiguer ce genre d'attaques ?

Les solutions qui permettraient de limiter l'ampleur de ce type d'attaque existent, et pour certaines ne seraient finalement pas si compliquées à mettre en place. La première n'est autre que le durcissement de la sécurité autour des objets connectés, une étape relativement aisée tant on part de loin. « Le botnet Mirai a démontré que même une attaque par dictionnaire peu sophistiquée est capable de compromettre des centaines de milliers d'appareils », notent les chercheurs. 

Une première étape pourrait être de proposer des mots de passe par défaut aléatoires sur chaque appareil, afin d'éviter de laisser l'accès à quiconque sait taper « admin/admin ». Les objets connectés devraient également laisser leurs ports fermés par défaut et disposer d'une configuration réseau limitant l'accès aux terminaux se trouvant dans leur réseau local ou bien à des machines spécifiques... ce qui est rarement le cas. 

Des mises à jour automatiques sur ces appareils pourraient également limiter les dégâts, à condition que leurs fabricants prennent le temps d'assurer le suivi nécessaire, ce qui n'est pas toujours le cas. Quant à assurer ces mises à jour sur le long terme afin de ne pas se retrouver dans une situation semblable à celle de Windows XP, avec des millions de machines ouvertes aux quatre vents, c'est une autre étape, qui semble encore un peu plus compliquée à atteindre.

Le botnet a servi d'électrochoc pour les autorités des deux côtés de l'Atlantique, les États-Unis et l'Union européenne cherchant des solutions rapides pour enfin sécuriser ces millions d'objets connectés. Les propositions rejoignent celles des chercheurs, avec un niveau minimal de sécurité, des mises à jour et l'obligation de fournir un logiciel sans failles connues. Un investissement dans la sécurité qui est jusqu'ici évité par les fabricants, qui misent avant tout sur le prix. Côté américain, la commande publique doit être le levier de la sécurisation, quand les Européens envisagent une (auto-)certification des objets connectés. Résultat au mieux dans quelques mois.

Écrit par Kevin Hottot

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Anatomie d'un botnet

Les traces des attaques

Dyn n'était probablement pas la cible principale

Comment endiguer ce genre d'attaques ?

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (24)


Les français ont de la chance… le mot de passe “qd;in” n’est pas dans la liste.



<img data-src=" />


le mdp par défaut “fucker” <img data-src=" />





comment ils peuvent analyser après coup l’évolution de l’infection dans le temps ? Y’a des logs ? <img data-src=" />








127.0.0.1 a écrit :



Les français ont de la chance… le mot de passe “qd;in” n’est pas dans la liste.



<img data-src=" />





J’ai pas compris





Bon par contre il y a bien admin/admin1234 mais (très étonnant) il n’y a pas admin/admin dans la liste. Bon j’imagine que nous n’avons pas la liste exhaustive ici.&nbsp;









jb18v a écrit :



comment ils peuvent analyser après coup l’évolution de l’infection dans le temps ? Y’a des logs ? <img data-src=" />





Les entreprises attaquées ont probablement tous les logs de connexion oui.



haha les mots de passe <img data-src=" />

&nbsp;

Je pense à ce commitstrip :&nbsphttp://www.commitstrip.com/fr/2016/10/14/good-old-adminpassword/?setLocale=1








jb18v a écrit :



le mdp par défaut “fucker” <img data-src=" />





Mais quelle espèce de boîte peut mettre ça en défaut sur ses appareils ?



En même temps, la liste ne comprend que les mots de passe, pas les logins <img data-src=" />


Mirai est open source, y a pas grand chose à chercher <img data-src=" />


Seuls les vrais qd;inistrqteurs peuvent comprendre. <img data-src=" />








127.0.0.1 a écrit :



Seuls les vrais qd;inistrqteurs peuvent comprendre. <img data-src=" />





ah punaise j’avais pas fait le lien <img data-src=" />



ce serait pas qd,in plutot ?



A+


qd;in (si tu es sur windows tu peux passer ton clavier en qwerty (US) en faisant alt+shift)



article très intéressant. merci beaucoup <img data-src=" />

Je pense qu’on n’a pas fini de voir ce genre de truc arriver








WereWindle a écrit :



qd;in (si tu es sur windows tu peux passer ton clavier en qwerty (US) en faisant alt+shift)





Sauf que le M en qwerty correspond bien au ‘,’ en azerty :) donc c’est bin “qd,in”



Oui, mais le problème est généralement inverse.



&gt; Welcome to your new awesome IoT object

&gt; warning: no password configured for administrator !

&gt;

&gt; Please enter the new administrator password: *

&gt; Re-enter the new administrator password: *

&gt; ok.



Tu as tapé deux fois “admin” sur ton clavier franchouillard, et l’objet anglophone à compris “qd;in”





ah ok, vu comme ça :)


je vois que dans la liste il y a quand même 2 bons gros mdp avec chiffres et lettres majuscules et minuscules. ils ont déjà dû passer un moment à bruteforcer ces 2 mdp.








ashlol a écrit :



je vois que dans la liste il y a quand même 2 bons gros mdp avec chiffres et lettres majuscules et minuscules. ils ont déjà dû passer un moment à bruteforcer ces 2 mdp.





même “compliqué” un mot de passe par défaut reste un mot de passe par défaut.

D’ailleurs si vous en cherchez



Manufactor: alsVhNqdi

Product: BHfkzyNMZqjjTUx

User: gYwzxarX

Password: dnfYXdTTJdrXkmTSahc



<img data-src=" /> ??


À titre indicatif “12345” est le mot de passe par défaut des Sierra Wireless LS300 et probablement d’autres.


Seul XiongMai a compris comment protéger les objets connectés ! En stoppant la vente et en rappelant tout ce qui a été vendu !



Blague à part, c’est inquiétant de voir que cette façon de faire dure depuis des années et qu’elle n’a pas évoluer !&nbsp;A côté de ça on chiffre toute ce qui se passe à la maison !


oui, y a plein d’entrées bizarres <img data-src=" />

(j’aime bien celui 2 lignes en dessous de 3M… le access : difficult va bien avec le nom de produit et sa version)



Salut à tous,



la question qui reste à soulever est : peut-on faire confiance à un constructeur aujourd’hui pour fournir de l’iot sécurisé, notamment des caméras ? Un caméra Pi est-elle mieux sécurisée ?



Si vous avez des pistes, je suis preneur.

Ciao








Leolf a écrit :



Salut à tous,



la question qui reste à soulever est : peut-on faire confiance à un constructeur aujourd’hui pour fournir de l’iot sécurisé, notamment des caméras ? Un caméra Pi est-elle mieux sécurisée ?



Si vous avez des pistes, je suis preneur.

Ciao





Erreur dans ton commentaire, associé constructeur et sécurité des objets connectés.



Je pense que ta caméra Pi sera toujours plus sécure de part juste le fait que c’est toi qui fait le config (et que ta caméra n’a pas la config de 99,99% des autres objets).



Un bonne chose à faire serait de changer les mots de passes par défaut si il y en a.