Notório por ser uma das famílias de malware mais ativas de Internet das Coisas (IoT), Mirai é um conjunto de malwares que os administradores de sistema sempre estão de olho para garantir que seus dispositivos e sistemas estão protegidos. Apesar de toda atenção que esse malware tem recebido, os cibercriminosos continuam o desenvolvendo para realizar novos ataques.
Um mês após descobrir uma nova variação do Mirai, a Trend Micro encontrou outra amostra. Como as variantes anteriores, ela permite que os atacantes tenham acesso remoto e controle por portas expostas e credenciais padrão em dispositivos IoT, permitindo que os atacantes usem dispositivos infectados para ataques distributed denial of service (DDoS) por meio de vários métodos, como inundação (UDP).
Comparada com as outras variações, essa amostra é distinta porque os cibercriminosos usaram o servidor command and control (C&C) na rede Tor para anonimidade. Isso pode ser uma tendência em evolução entre os desenvolvedores de malwares para IoT, já que servidores C&C de agentes maliciosos na web superficial podem ser denunciados e desativados – e é uma tendência da qual pesquisadores de cibersegurança, empresas e usuários podem precisar se defender.
Como funciona o novo ataque
Enquanto outras amostras do Mirai tradicional têm de um a quatro servidores C&C, havia 30 endereços codificados na amostra. Ao examinar a comunicação entre ela e os servidores em um ambiente sandbox fechado, a amostra enviou uma sequência específica “05 01 00”, uma mensagem inicial de handshake do protocolo socks5. Em seguida, os pesquisadores enviaram a mensagem para os servidores e receberam a resposta do socks5 “05 00” da maioria dos endereços, confirmando que eles eram proxies socks da rede Tor. Isso também foi checado com uma varredura Shodan, já que os resultados de busca mostravam os proxies socks ativos nos servidores.
Analisando o protocolo de comunicação que a amostra usou, os pesquisadores perceberam que ele era parecido com os protocolos das variantes Mirai anteriores, exceto pelo uso da conexão socks5. Também foi identificada uma sequência bytes indicativa de um comando DDoS enviado do servidor C&C por meio por meio de um ataque de inundação UDP em um endereço IP específico.
Amostras Relacionadas
Procurando por amostras relacionadas e informação em outros lugares para comparação, outras open sources como VirusTotal produziram o mesmo valor hash da mesma fonte URL, que era um diretório aberto também abrigando outras amostras de outras arquiteturas. Outros detalhes do relatório também mostravam um segundo servidor de distribuição.
Os pesquisadores da Trend Micro consideram essa amostra interessante por causa da decisão dos atacantes de colocar o servidor C&C no Tor, provavelmente evadindo o rastreamento do seu endereço IP e evitando que seja desativado quando denunciado para os registros de domínio. A técnica é semelhante de um malware denunciado em 2017 chamado BrickerBot, uma variante abrigada em Tor e que tem técnicas parecidas com o Mirai. Porém, BrickerBot foi uma das primeiras instâncias de negação de serviço permanente (PDoS) em uma tentativa irônica de prevenir dispositivos IoT de serem infectados pelo Mirai, logo descontinuada depois de danificar mais de 10 milhões de dispositivos.
Embora existam denúncias anteriores de outros malwares escondendo seus C&C no Tor, os pesquisadores acreditam que isso é um possível precedente para outras famílias de malware de IoT em evolução. Por causa do ambiente disponível do Tor, o servidor permanece anônimo, logo mantendo o criador do malware e/ou dono do C&C não identificáveis. Assim, o servidor continua funcionando mesmo descoberto, o tráfego da rede pode se disfarçar como legítimo e permanecer criptografado e ele não será estará na lista negra devido aos outros usos legítimos possíveis para o Tor.
A presença de outro servidor de distribuição e outras amostras feitas para outras arquiteturas de dispositivos sugere possivelmente que esses cibercriminosos buscam aplicar essa operação em larga escala. Apesar disso, sistemas de detecção com assinatura e mecanismos baseados em comportamento ainda podem detectar e bloquear essas intrusões malware.
Como se precaver
Recomenda-se que usuários e empresas atualizem seus sistemas de rede e dispositivos com os patches mais recentes, mudem as credenciais padrão para senhas complexas e apliquem múltiplos sistemas de identificação para prevenir acesso não autorizado. Evite conectar com redes não seguras fora dos perímetros de confiança para limitar as chances de intrusão por redes abertas e disponíveis para o público.
