IoT SECURITY. MIRAI: la botnet responsabile del più grande attacco DDoS della storia di Internet

Transcript

1 IoT SECURITY MIRAI: la botnet responsabile del più grande attacco DDoS della storia di Internet Filippo Lauria Gruppo reti telematiche IIT-CNR, AdR Pisa

2 CONTENUTI Evoluzione delle botnet Lo scenario IoT Conseguenze MIRAI Architettura Meccanismo di propagazione Osservazione del fenomeno MIRAIMAP + FooReSec Alcuni grafici DEMO TIME

3 EVOLUZIONE DELLE BOTNET Proto botnet CC & home banking IoT GM-Bot 1989 Sub7 & Pretty Park 1999 SDBot & Agobot 2002 ZeuS 2006 Conficker 2008 Ramnit 2011 MIRAI IRC 1993 EGGDROP 2000 GT-Bot 2003 Spybot & Beagle 2007 Cutwail 2009 KOOBFACE 2014 Neutrino 2017 Delta Charlie Management & Gaming IRC mirc botnet IRC war & DDoS keylogging data mining spamming social network RAT

4 LO SCENARIO IoT 1. Si stima che in tutto il mondo, 3.9 miliardi di IoT consumer devices erano in uso nel 2016 ed è previsto che nel 2020 si arriverà a 12.8 miliardi. (fonte: Gartner) 2. Presenza sul mercato di IoT devices insicuri by design, ovvero router/modem ADSL, videocamere & NVR, ecc. facilmente accessibili da Internet mediante credenziali deboli impostate di default dai produttori. 3. Mancanza di consapevolezza del rischio cyber legato agli IoT devices da parte dei possessori.

5 CONSEGUENZE Il mondo IoT rappresenta un terreno fertile per il malware che bersaglia i devices ad esso appartenenti. Un esempio celebre di malware IoT è la famigerata botnet MIRAI.

6 MIRAI IN THE NEWS

7 MIRAI: INTRO MIRAI (futuro, in Giapponese) è un esempio emblematico di malware IoT. È comparso per la prima volta su Internet a Settembre Tweets di Octave Klaba, il CTO di OVH, che annunciavano un DDoS > 1Tbps. Il codice sorgente è stato reso pubblico da Ottobre 2016.

8 MIRAI: L ARCHITETTURA È una master-slave botnet: un certo numero di nodi (i bot), connessi via Internet ad un nodo centrale (il master), il quale è in grado di comunicare contemporaneamente con tutti i bot al fine di comandare da remoto, in maniera coordinata, le loro azioni (CNC, C&C o C2).

9 MIRAI: BOT e LOADER BOT scansionano costantemente lo spazio degli indirizzi IPv4 alla ricerca di nuovi dispositivi vittima da comunicare al LOADER. LOADER attende dai BOT le informazioni di contatto di nuovi dispositivi da infettare.

10 MIRAI: PROCESSO DI INFEZIONE STEP 1 Il LOADER, già in possesso delle informazioni di contatto, prova a connettersi al dispositivo vittima... BOT scansionano costantemente lo spazio degli indirizzi IPv4 alla ricerca di nuovi dispositivi vittima da comunicare al LOADER. LOADER attende 1 dai BOT le informazioni di contatto di nuovi dispositivi da infettare.

11 MIRAI: PROCESSO DI INFEZIONE STEP 2...il LOADER cerca di determinare se il dispositivo vittima è effettivamente infettabile

12 MIRAI: PROCESSO DI INFEZIONE STEP 3...avendo appurato che il dispositivo è infettabile, il LOADER fa scaricare alla vittima l eseguibile MIRAI che una volta eseguito trasformerà il dispositivo in un BOT

13 MIRAI: PROCESSO DI INFEZIONE STEP 4...il nuovo BOT, si collega al CNC in attesa di comandi. 4 3

14 MIRAI: PROCESSO DI INFEZIONE Un nuovo BOT è ora connesso al CNC. Da parte sua, il nuovo BOT comincia a scansionare Internet per individuare nuovi dispositivi vulnerabili...

15 MIRAI: PROCESSO DI SCANSIONE STEP 1...il BOT individua un nuovo dispositivo vulnerabile... 1

16 MIRAI: PROCESSO DI SCANSIONE STEP 2...riporta al LOADER le informazioni di contatto del nuovo dispositivo vittima

17 MIRAI: PROCESSO DI SCANSIONE STEP 3...il LOADER completa l infezione del nuovo dispositivo vittima

18 MIRAI: IL MODELLO

19 OSSERVAZIONE DEL FENOMENO L installazione di un singolo honeypot ci ha permesso di monitorare il fenomeno più da vicino.

20 HONEYPOT Un nodo di rete: posizionato ed isolato all interno della rete di un organizzazione; raggiungibile dall esterno; facile preda agli occhi degli attaccanti; in realtà un esca, contenente nessuna informazione significativa; il cui scopo è raccogliere informazioni sugli attacchi e gli attaccanti. Attaccante Honeypot

21 MIRAIMAP Dispositivi infetti rilevati tra il 2 ed il 3 Aprile 2017

22 MIRAIMAP: COS È? Un applicazione web realizzata in-house per permettere di presentare e correlare i tentativi di intrusione rilevati dall honeypot. Ad esempio: le coordinate geografiche dell attaccante; le credenziali di contatto usate; i repositories di malware individuati;... Altre informazioni reperite (i singoli comandi inseriti e/o i file iniettati dagli attaccanti, etc.) sono comunque immagazzinate dall honeypot in un Timeseries database (TSDB) e/o nel filesystem.

23 TEMPI DI LOGIN Il grafico rappresenta la probabilità, da parte di un attaccante, di scoprire credenziali valide per l accesso all honeypot in un determinato numero di secondi osservazioni (da 420 nodi singoli) nei giorni 21, 22 e 23 Aprile 2017.

24 TEMPI DI LOGIN Il grafico rappresenta la probabilità, da parte di un attaccante, di scoprire credenziali valide per l accesso all honeypot in un determinato numero di secondi osservazioni (da 420 nodi singoli) nei giorni 21, 22 e 23 Aprile Dal grafico si evince che nell intervallo secondi l attaccante ha ~76% di probabilità di indovinare le credenziali di accesso all honeypot.

25 FooReSec: COS È? Dalle informazioni rilevate grazie all honeypot è possibile dedurre altre informazioni. In particolare: footprint: è possibile utilizzare tool come nmap per tentare di identificare il sistema operativo utilizzato dai nodi attaccanti; report: è possibile sfruttare servizi online (come ad es. AbuseIPDB) per segnalare il comportamento abusivo dei nodi attaccanti; secure: sarebbe possibile utilizzare le stesse tecniche utilizzate dagli attaccanti per accedere ai nodi attaccanti e metterli in sicurezza.

26 FooReSec Grafico a barre rappresentate il numero di nodi raggruppati per la versione di kernel Linux scoperta grazie al footprinter. 765 (~33%) nodi classificati su un totale di 2324 nodi distinti osservati nel periodo 20 Aprile-5 Maggio 2017 (16 giorni).

27 FooReSec In blu il numero di nodi singoli riportati al servizio AbuseIPDB, in rosso il numero di tentativi di infezione. Il grafico è partizionato in 3 doppie barre rappresentanti i campioni collezionati dall honeypot nei giorni 21, 22 e 23 Aprile 2017.

28 DEMO TIME MIRAIMAP