Fala galera beleza?
Para quem não conhece, Mirai é o principal malware que atinge as redes IoT de todo o mundo, na realidade ele toma controle de equipamentos expostos (DVRs, sensores, camêras pessoais etc) escaneando algumas portas TCP pela internet (9527 e 34567 nessa nova versão) utilizando usuários e senhas padrões dos equipamentos para controlar os mesmos e evitar que possam ser desligados ou rebootados remotamente.
A grande diferença agora é que foram encontrados rastros da comunicação entre os dispositivos atacados e os C&C server (comand and control) via TOR:
Mas o que isso quer dizer na pratica? Na pratica fica muito mais dificil encontrar o os autores dos ataques e e desativar os C&C Servers, além disso, é provável que cada vez mais as ameaças sigam essa linha de anonimato do TOR.
Alguns dos sinais que os seus equipamentos IoT estão vulneráveis:
- Impossibilidade de gerencia dos equipamentos;
- Alteração de senhas e usuários sem atuação da equipe;
- Trafego anormal de saída para destinos desconhecidos (provável DDOS);
- Comunicação dos dispositivos com C&Cs e URLs TOR (ex. nd3rwzslqhxibkl7[.]onion:1356)
Para se previnir vale reforçar as velhas regras de segurança:
- Manter os equipamentos e server atualizados e com os últimos patchs instalados;
- Alterar usuários e senhas default de todos os equipamentos que podem ficar expostos;
- Aplicar multiplos fatores de autenticação (se possível);
- Uma politica reforçada de segurança de perimetro para diminuir as chances de exposição;
- Evitar acesso a redes desconhecidas e inseguras (TOR mesmo é um exemplo a ser bloqueado).
Link reportagem TrendMicro:
https://blog.trendmicro.com/trendlabs-security-intelligence/keeping-a-hidden-identity-mirai-ccs-in-tor-network/
Acredito que esse tipo de ataque irá se tornar rotina no dia a dia dos analistas de Sec, sendo que a utilização de equipamentos IoT está crescendo em níveis elevados, podendo até mesmo uma cidade inteira ser atacada/sequestrada (já existem cidades no Brasil que utilizam toda infraestrutura conectada, as chamadas SmartCities).
Abraços
Nenhum comentário:
Postar um comentário