O que é a botnet Mirai?

O malware Mirai explora falhas de segurança em dispositivos de IoT e tem o potencial de aproveitar o poder coletivo de milhões de dispositivos de IoT em botnets e lançar ataques.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Saber mais sobre a botnet Mirai
  • Saber como as botnets estão mudando
  • Saber por que as botnets são perigosas
  • Saber como os dispositivos de IoT e botnets estão relacionados

Copiar o link do artigo

O que é Mirai?

Mirai é um malware que infecta dispositivos inteligentes que rodam em processadores ARC, transformando-os em uma rede de bots ou "zumbis" controlados remotamente. Essa rede de bots, chamada de botnet, é frequentemente usada para lançar ataques DDoS.

Malware, abreviação de software malicioso, é um termo abrangente que inclui worms de computador, vírus, cavalos de Troia, rootkits e spyware.

Em setembro de 2016, os autores do malware Mirai lançaram um ataque DDoS no site de um conhecido especialista em segurança. Uma semana depois, eles divulgaram o código-fonte para o mundo, possivelmente na tentativa de esconder as origens desse ataque. Esse código foi rapidamente replicado por outros cibercriminosos e acredita-se que esteja por trás do ataque maciço que derrubou o provedor de serviços de registro de domínio, Dyn, em outubro de 2016.

Como funciona o Mirai?

O Mirai verifica a internet em busca de dispositivos de IoT que são executados no processador ARC. Este processador executa uma versão simplificada do sistema operacional Linux. Se a combinação padrão de nome de usuário e senha não for alterada, o Mirai poderá fazer login no dispositivo e infectá-lo.

IoT, abreviação de Internet das Coisas, é apenas um termo moderno para dispositivos inteligentes que podem se conectar à internet. Esses dispositivos podem ser babás eletrônicas, veículos, roteadores de rede, dispositivos agrícolas, dispositivos médicos, dispositivos de monitoramento ambiental, eletrodomésticos, DVRs, câmeras CC, fones de ouvido ou detectores de fumaça.

A botnet Mirai empregou cem mil dispositivos de IoT sequestrados para derrubar o Dyn.

Quem foram os criadores da botnet Mirai?

Paras Jha, de 21 anos, e Josiah White, de 20 anos, cofundaram a Protraf Solutions, uma empresa que oferece serviços de mitigação de ataques DDoS. O caso deles era um caso clássico de extorsão: seus negócios ofereciam serviços de mitigação de DDoS para as mesmas organizações que seu malware atacava.

Por que o malware Mirai continua perigoso?

O Mirai está mudando.

Embora seus criadores originais tenham sido capturados, seu código-fonte continua vivo. Ele deu origem a variantes como o Okiru, o Satori, o Masuta e o PureMasuta. O PureMasuta, por exemplo, é capaz de armar o bug HNAP em dispositivos D-Link. A cepa OMG, por outro lado, transforma dispositivos de IoT em proxies que permitem que os cibercriminosos permaneçam anônimos.

Há também a recentemente descoberta - e poderosa - botnet, apelidada de IoTrooper e Reaper, que é capaz de comprometer dispositivos de IoT a uma taxa muito mais rápida que a Mirai. A Reaper é capaz de atingir um número maior de fabricantes de dispositivos e tem um controle muito maior sobre seus bots.

Quais são os vários modelos de botnets?

Botnets centralizadas

Se você pensar em uma botnet como uma peça teatral, o servidor C&C (Servidor de Comando e Controle, também conhecido como C2) é seu diretor. Os atores desta peça são os vários bots que foram comprometidos pela infecção por malware e fazem parte da botnet.

Quando o malware infecta um dispositivo, o bot envia sinais cronometrados para informar ao C&C que ele já existe. Esta sessão de conexão é mantida aberta até que o C&C esteja pronto para comandar o bot para fazer sua oferta, que pode incluir envio de spam, quebra de senha, ataques DDoS, etc.

Em uma botnet centralizada, o C&C é capaz de transmitir comandos diretamente aos bots. No entanto, o C&C também é um ponto único de falha: se retirado, a botnet se torna ineficaz.

C&Cs em camadas

O controle da botnet pode ser organizado em várias camadas, com vários C&Cs. Grupos de servidores dedicados podem ser designados para uma finalidade específica, por exemplo, para organizar os bots em subgrupos, fornecer conteúdo designado e assim por diante. Isso torna a botnet mais difícil de derrubar.

Botnets descentralizadas

Botnets peer-to-peer (P2P) são a próxima geração de botnets. Em vez de se comunicar com um servidor centralizado, os bots P2P atuam como um servidor de comando e como um cliente que recebe comandos. Isso evita o problema de ponto único de falha, inerente às botnets centralizadas. Como as botnets P2P operam sem C&C, elas são mais difíceis de encerrar. Trojan.Peacomm e Stormnet são exemplos de malware por trás de botnets P2P.

Como o malware transforma os dispositivos de IoT em bots ou zumbis?

Em geral, o phishing por e-mail é uma maneira comprovadamente eficaz de infectar o computador - a vítima é induzida a clicar em um link que aponta para um site malicioso ou baixar um anexo infectado. Muitas vezes o código malicioso é escrito de tal forma que o software antivírus comum não consegue detectá-lo.

No caso do Mirai, o usuário não precisa fazer nada, além de deixar inalterados o nome de usuário e a senha padrão em um dispositivo recém-instalado.

Qual é a conexão entre o Mirai e a fraude de cliques?

O pay-per-click (PPC), também conhecido como custo por clique (CPC), é uma forma de publicidade on-line na qual uma empresa paga a um site para hospedar seu anúncio. O pagamento depende de quantos visitantes desse site clicaram nesse anúncio.

Quando os dados de CPC são manipulados de forma fraudulenta, é conhecido como fraude de cliques. Isso pode ser feito fazendo com que as pessoas cliquem manualmente no anúncio, usando software automatizado ou com bots. Por meio desse processo, lucros fraudulentos podem ser gerados para o site às custas da empresa que coloca esses anúncios.

Os autores originais da Mirai foram condenados por alugar sua botnet para ataques DDoS e fraude de cliques.

Por que as botnets são perigosas?

As botnets têm o potencial de impactar praticamente todos os aspectos da vida de uma pessoa, usando ou não dispositivos de IoT ou até mesmo a internet. As botnets podem:

  • atacar provedores, resultando em negação de serviço para tráfego legítimo às vezes
  • enviar e-mail de spam
  • lançar ataques DDoS e derrubar sites e APIs
  • realizar fraudes de cliques
  • resolver desafios fracos CAPTCHA em sites para imitar o comportamento humano durante os logins
  • roubar informações de cartão de crédito
  • obrigar empresas a pagar resgates com ameaças de ataques DDoS

Por que a proliferação de botnets é tão difícil de conter?

Há muitas razões pelas quais é tão difícil parar a proliferação de botnets:

Proprietários de dispositivos de IoT

Não há custo ou interrupção no serviço, portanto, não há incentivo para proteger o dispositivo inteligente.

Sistemas infectados podem ser limpos com uma reinicialização, mas como a verificação de bots em potencial ocorre a uma taxa constante, é possível que eles sejam reinfectados minutos após a reinicialização. Isso significa que os usuários precisam alterar a senha padrão imediatamente após a reinicialização. Ou eles devem evitar que o dispositivo acesse a internet até que possam redefinir o firmware e alterar a senha off-line. A maioria dos proprietários desses dispositivos não tem o know-how nem a motivação para fazê-lo.

Provedores

O aumento do tráfego em sua rede a partir do dispositivo infectado normalmente não se compara ao tráfego gerado pelo streaming de mídia, portanto, não há muito incentivo para se preocupar.

Fabricantes de dispositivos

Há pouco incentivo para os fabricantes de dispositivos investirem na segurança de dispositivos de baixo custo. Responsabilizá-los por ataques pode ser uma forma de forçar a mudança, embora isso possa não funcionar em regiões onde a fiscalização não é rigorosa.

Ignorar a segurança do dispositivo gera um grande perigo: o Mirai, por exemplo, é capaz de desabilitar o software antivírus, o que torna a detecção um desafio.

Magnitude

Com mais de um bilhão e meio de dispositivos baseados em processadores ARC inundando o mercado a cada ano, o número total de dispositivos que podem ser integrados a botnets poderosas significa que essas variantes de malware tendem a aumentar o possível impacto.

Simplicidade

Os kits de botnet prontos para uso eliminam a necessidade de conhecimento técnico. Por US$ 14,99 a US$ 19,99, uma botnet pode ser alugada por um mês inteiro. Consulte O que é um DDoS Booter/Stresser? para obter mais detalhes.

Padrões Globais de Segurança da IoT

Não existe uma entidade global, ou consenso, para definir e fazer cumprir os padrões de segurança da IoT.

Embora os patches de segurança estejam disponíveis para alguns dispositivos, os usuários podem não ter a habilidade ou o incentivo para atualizar. Muitos fabricantes de dispositivos de baixo custo não oferecem nenhum tipo de manutenção. Para aqueles que o fazem, muitas vezes não é no longo prazo. Também não há como descomissionar dispositivos quando as atualizações não são mais mantidas, tornando-os indefinidamente inseguros.

Aplicação da lei global

A dificuldade em rastrear e processar os criadores de botnets dificulta a contenção da proliferação das botnets; Não existe um equivalente global da Interpol (Organização Internacional de Polícia Criminal) para crimes cibernéticos, com habilidades investigativas correspondentes. A aplicação da lei em todo o mundo geralmente não consegue acompanhar os cibercriminosos quando se trata de tecnologia mais recente.

Muitas botnets agora empregam uma técnica de DNS chamada Fast Flux para ocultar os domínios que usam para baixar malware ou hospedar sites de phishing. Isso as torna extremamente difíceis de rastrear e derrubar.

A infecção por botnet degrada a performance de dispositivos de IoT?

É possível. De vez em quando, os dispositivos infectados podem ter uma performance lenta, mas geralmente funcionam conforme o esperado. Os proprietários não têm grande motivação para encontrar maneiras de eliminar a infecção.

Adendo

Uma legislação a ser aprovada pelo governador da Califórnia, Jerry Brown, exige que os dispositivos de IoT tenham recursos de segurança razoáveis “adequados à natureza e função do dispositivo”. Ela deveria entrar em vigor em janeiro de 2020.

Por que essa legislação é tão importante? É impossível as empresas ignorarem o lucrativo mercado da Califórnia. Se quiserem vender na Califórnia, precisarão melhorar a segurança em seus dispositivos. Isso beneficiará todos os estados.