Aspectos económicos, propagación y mitigación de Mirai

Por Kirk Soluk y Roland Dobbins

A fines de noviembre de 2016, surgió una nueva variante de Mirai que utilizó un mecanismo de propagación diferente al mecanismo de fuerza bruta basado en Telnet proporcionado originalmente en el código fuente filtrado de Mirai. Esta nueva variante aprovecha las implementaciones vulnerables del protocolo TR-064/TR-069 utilizado por los ISP para administrar de forma remota los routers de banda ancha de sus clientes [1]. Si bien se escribió mucho acerca de esta variante de Mirai, con frecuencia se pasan por alto o se hace sensacionalismo con aspectos importantes. Además de métodos de propagación divergentes, los actores de amenazas siguen utilizando los botnets DDoS como fuente de ingresos. Con esta creciente amenaza ahora dirigida a dispositivos de acceso por banda ancha, los proveedores responsables de la seguridad y el rendimiento de sus redes necesitan asesoramiento específico en mitigación para evitar que Mirai se apodere de los equipos en las instalaciones de sus clientes (p. ej., routers de banda ancha) o que causen interrupciones en el proceso.

Antecedentes

Modelo económico

Muchos medios informativos han informado que se está utilizando un botnet basado en la variante de Mirai TR-064/TR-069 para ofrecer DDoS como servicio. Los llamados servicios Booter/Stresser o DDoS por contrato permiten que cualquiera que esté dispuesto a pagar el precio tenga la habilidad de organizar un ataque DDoS contra objetivos de su elección. Por supuesto, el hecho de que se utilice un botnet, basado en Mirai u otro, para ganar dinero no debe sorprenderle a nadie. De hecho, ese es el único objetivo de este botnet. El modelo económico se asemeja al de un operador de red virtual móvil o MVNO. De acuerdo con Wikipedia [2]:

Un operador de red virtual móvil (MVNO), u otro operador móvil autorizado (MOLO), es un proveedor de servicios de comunicación inalámbrica que no es propietario de la infraestructura de red a través de la cual presta servicio a sus clientes. Un MVNO firma un acuerdo de negocios con un operador de red móvil para obtener acceso masivo a los servicios de red a precios mayoristas; luego, establece precios minoristas de forma independiente. Un MVNO puede utilizar sistemas de atención al cliente, sistemas de soporte de facturación y personal de ventas propios, o puede emplear los servicios de un habilitador de red móvil virtual (MVNE).

Con esta analogía, los actores de amenazas que crean y mantienen este botnet Mirai son los operadores de red móvil: son dueños de la infraestructura del botnet y permiten el acceso administrado de otros actores de amenazas (los MVNO en esta analogía). Los actores de amenazas secundarios (los MVNO en esta analogía), a su vez, brindan el servicio DDoS por contrato a los clientes finales y establecen sus propias estructuras de tarifas y lo comercializan de la forma que elijan. En algunos casos, pueden referirse a Mirai, mientras en otros simplemente venden lo que parece ser su propio botnet. El código fuente de Mirai [3] tiene compatibilidad incorporada con los modelos que cuentan con una base de datos de cuentas MySQL, API y acceso de nivel CLI al botnet.

Mecanismo de propagación

El mecanismo de propagación utilizado por esta variante de Mirai más reciente difiere del utilizado en el código fuente originalmente filtrado de Mirai. El código originalmente filtrado de Mirai utiliza fuerza bruta basada en Telnet para poner en peligro dispositivos con IoT diseñados y configurados de forma deficiente. La lista predefinida de nombres de usuario y contraseñas predeterminados puso en peligro, principalmente, a cámaras web y DVR. En cambio, la nueva variante de Mirai aprovecha las implementaciones vulnerables del protocolo TR-064/TR-069 utilizado por los ISP para administrar de forma remota los equipos en las instalaciones de sus clientes (en especial, routers domésticos) [1]. La implementación vulnerable del protocolo (también conocido como protocolo de administración CPE WAN – CWMP) permite que se ejecute un código arbitrario en los routers afectados mediante el análisis de ese código como un parámetro de configuración entregado en un mensaje SOAP a través de HTTP al puerto 7547. ISC ofrece una explicación detallada de este uso [4]. La ejecución de código arbitrario permite que la carga de Mirai se descargue e instale en el router, incorporándola en el botnet Mirai. Una vez que el dispositivo con IoT forma parte del botnet, este está disponible para lanzar ataques DDoS por comandos y comienza a escanear otros dispositivos objetivo.

Aclaración sobre las interrupciones recientes

Debido a que Mirai es conocido como el botnet detrás de varios ataques DDoS de alto perfil con objetivos que incluyen el blog “Krebs on Security”, el proveedor de hosting francés OVH, el proveedor de DNS administrado Dyn y un operador móvil de Liberia, muchos han asumido incorrectamente que los ataques DDoS basados en Mirai también fueron responsables de las interrupciones recientes en dos importantes proveedores de banda ancha europeos y la Oficina Federal Alemana para la Seguridad de la Información (BSI) [5]. Como aclaración, estas interrupciones recientes no fueron el resultado de un ataque DDoS. En cambio, fueron consecuencia del escaneo horizontal intensivo y los intentos de poner en peligro routers domésticos que utilizan el mecanismo de propagación descrito en la sección anterior.

Mitigación

Para mitigar los ataques DDoS basados en Mirai, los clientes de Arbor deben consultar el informe sobre amenazas de ASERT titulado Descripción del botnet de IoT Mirai y mitigación de ataques DDoS disponible a través de Arbor ATAC o su ingeniero asesor local. Quienes no sean clientes deben consultar el blog de ASERT con el mismo título [6]. Los ISP de acceso por banda ancha deben escanear proactivamente las redes de acceso de sus clientes para detectar nodos en peligro o vulnerables y tomar medidas para notificar a los usuarios en cuestión que sus dispositivos están en riesgo. En los casos donde los ISP han suministrado los dispositivos CPE vulnerables, deben tomar medidas inmediatas para reemplazarlos, ya que la actividad de escaneo intensivo por parte de los atacantes hará que los dispositivos vuelvan a estar en peligro inmediatamente una vez que sean reiniciados. Los ISP que operan redes de banda ancha DSL deben implementar las mejores prácticas actuales (BCP) para asegurarse de que solo los sistemas de administración de redes dedicados de los ISP puedan acceder a las instalaciones de administración de redes remota en estos dispositivos CPE. Los operadores de redes de módem por cable deben hacer lo mismo con los sistemas de administración de redes DOCSIS utilizados para administrar dispositivos CPE de forma remota en sus redes. Asimismo, los ISP de acceso por banda ancha deben utilizar mecanismos de protección automática de infraestructura de red incorporados en sus dispositivos de red para limitar la tasa de ARP y otro tráfico del plano de control relevante que puede generarse por el escaneo de dispositivos en peligro para incluir otros dispositivos CPE vulnerables en el botnet. Esto asegurará que la actividad de escaneo intensiva de dispositivos CPE en peligro no pueda interrumpir grandes franjas de sus poblaciones de usuarios limitando el impacto lateral del escaneo.

Conclusión

Mirai es una plataforma compatible con operaciones constantes de DDoS por contrato que les permite a los atacantes lanzar ataques DDoS contra objetivos de su elección a cambio de compensación monetaria. Dada la gran cantidad de dispositivos con IoT inseguros disponibles actualmente y en aumento a diario, los botnets basados en Mirai representan una fuerza que debe considerarse en el futuro próximo. Mirai está causando interrupciones con simplemente intentar incluir estos dispositivos. Hemos brindado asesoramiento sobre mitigación para operadores de banda ancha que intentan evitar que Mirai se apodere de los equipos en las instalaciones de sus clientes o que, de otro modo, causen interrupciones en el proceso. Para mitigar los ataques DDoS basados en Mirai, ASERT presentó inicialmente un informe sobre amenazas de Mirai para los clientes de Arbor el 25 de octubre de 2016. El informe incluye información completa y detallada sobre mitigación y se actualiza con información nueva a medida que está disponible.

Referencias

[1] https://badcyber.com/new-mirai-attack-vector-bot-exploits-a-recently-discovered-router-vulnerability/

[2] https://en.wikipedia.org/wiki/Mobile_virtual_network_operator

[3] https://github.com/jgamblin/Mirai-Source-Code

[4] https://isc.sans.edu/diary/21763

[5] http://www.wired.co.uk/article/deutsche-telekom-cyber-attack-mirai

[6] https://www.arbornetworks.com/blog/asert/mirai-iot-botnet-description-ddos-attack-mitigation/

  • Posted in ASERT Blog
  • Comentarios desactivados en Aspectos económicos, propagación y mitigación de Mirai