EP 31 : Arrêter le botnet Mirai IoT, un serveur CNC à la fois – Un bon serveur Minecraft
[bzkshopping keyword= »Minecraft » count= »8″ template= »grid »]
EP 31 : Arrêter le botnet Mirai IoT, un serveur CNC à la fois
Robert Vamosi
·
06 octobre 2021
En 2016, le botnet Mirai IoT a fermé une partie d'Internet, mais des variations nous tourmentent encore aujourd'hui. Peut-être que notre approche actuelle des botnets IoT ne fonctionne pas ?
Ali Davanian et Ahmad Darki rejoignent le podcast Hacker Mind pour discuter de leur conférence Black Hat USA 2021 et de leur outil, CnCHunter, qui recherche des serveurs CnC actifs pouvant être découverts, afin que les forces de l'ordre puissent les supprimer, ou au moins les réseaux peuvent les bloquer, leur refusant ainsi l'accès aux centaines de milliers d'appareils compromis dans le monde.
Vamosi : L'Internet. Où serions-nous sans elle aujourd'hui 24 Sept nouvelles et mises à jour sportives en streaming des films, en commandant des choses à tout moment. Il est conçu pour être robuste pour résister à une guerre nucléaire. Oui, à quelques reprises dans l'histoire, certaines parties d'Internet ont en fait baissé, comme l'attaque par déni de service distribué qui s'est produite en 2016. Votre attaque par déni de service ciblée CMBC,
CCNB : Tout au long de la journée, cela a affecté le trafic Internet de haut en bas de la côte est, en particulier, jetez un œil à cette liste d'entreprises qui ont été touchées jusqu'à présent aujourd'hui, l'attaque précédente a commencé vers 7 heures du matin, heure de la côte est des services cloud Amazon , Netflix Twitter et Spotify ont tous signalé qu'ils avaient des difficultés d'accès à Internet aujourd'hui, la société attaquée s'appelle Dyn, ils fournissent, entre autres, des services de noms de domaine et ils disent que l'attaque initiale de ce matin a été atténuée et le service client a été restauré, disaient-ils il y a quelques minutes à peine. Nous atténuons actuellement une deuxième attaque, nous avons également ici une déclaration du Department of Homeland Security, qui dit, nous sommes conscients et enquêtons sur toutes les causes potentielles, donc aucune information à ce stade, les gars, exactement qui est derrière cette attaque massive par déni de service. sur le service Internet, le long de la côte est des États-Unis, mais clairement un effort ciblé, commençant par une impulsion le matin, et maintenant il arrive ici en milieu d'après-midi, nous verrons ce qui se passe tout au long du reste de la journée pour jour aller
Vamosi : Dyn était une société de gestion des performances Internet et de sécurité des applications Web qui a depuis été rachetée par Oracle. Retirer Dyn aurait donc un impact sur de nombreux services, et c'est ce qui s'est passé. Pour ce faire, on estime que l'attaque par déni de service distribué avait une force d'attaque de 1,2 térabits par seconde. Cela rendrait cette attaque par déni de service environ deux fois plus puissante que toute attaque DDoS similaire précédemment enregistrée à l'époque. Et si je vous disais que cette puissante attaque par déni de service distribué ne provenait pas d'un ensemble d'ordinateurs compromis. C'était pour des milliers d'appareils compatibles Internet des objets compromis, tels que les caméras de surveillance, les passerelles résidentielles, les imprimantes connectées à Internet et même dans les moniteurs pour bébé à domicile, ces appareils eux-mêmes sont souvent considérés comme n'ayant pas beaucoup de ressources, et vraiment ils n'ont pas beaucoup de ressources informatiques. Mais lorsque vous commencez à relier des milliers et des milliers d'appareils compromis dans ce qu'on appelle un botnet, puis orchestrez ce botnet pour qu'il tire sur une seule cible. Les résultats peuvent être suffisamment massifs pour faire tomber certaines parties d'Internet.
[music]
Vamosi : Bienvenue dans The Hacker Mind et le podcast original de ForAllSecure, il s'agit de remettre en question nos attentes vis-à-vis des personnes qui piratent pour gagner leur vie. Je m'appelle Robert Vamosi et dans cet épisode, je creuse plus profondément dans ces botnets IoT, et je vais parler à deux chercheurs qui cherchent des moyens créatifs de se défendre contre les logiciels malveillants IoT, et une pièce clé de ce puzzle est de trouver et arrêter ce qu'on appelle le serveur de commande et de contrôle, ou le CnCS derrière ces botnets.
[music]
Vamosi : Il existe plusieurs façons de résoudre le problème des botnets pour empêcher des attaques telles que celle de Dyn. L'une consiste à attaquer les ordinateurs compromis eux-mêmes pour bloquer ou supprimer le logiciel malveillant, mais après plus de 20 ans, l'approche anti-malware ne fonctionne clairement pas. Nous avons toujours des logiciels malveillants. Nous avons encore des botnets. Et si vous aviez alors des milliers et des milliers d'appareils stupides et non des ordinateurs dans le cadre de votre botnet, comment allez-vous y mettre un anti-malware, sans parler même de mettre à jour ces appareils. De toute évidence, il doit y avoir une autre approche. J'ai donc contacté deux chercheurs de l'Université de Californie à Riverside. Ils ont pris la parole à BlackHat USA 2021 où ils ont lancé un nouvel outil pour trouver des serveurs CnC basés sur l'IoT.
Davanien : C'est Ali. Je suis doctorant en quatrième année à l'Université de Californie Riverside.
Darki : Je m'appelle Ahmad Darki et j'ai récemment obtenu un doctorat de l'Université de Californie à Riverside. Et merci de nous recevoir.
Vamosi : Il est probablement bon de commencer par la façon dont tout cela fonctionne, les logiciels malveillants sont installés sur un ordinateur ou dans ce cas un appareil, et cela peut être fait de différentes manières, d'une attaque de phishing à une installation directe avec l'Internet des objets, c'est possible de scanner l'IP v pour la plage et d'identifier les appareils qui sont là-bas, alors, parce que c'est l'Internet des objets et qu'il est encore jeune et que la sécurité est souvent considérée comme une réflexion après coup, il est possible de faire du bourrage d'informations d'identification, ce qui signifie que vous fournissez simplement un nom d'utilisateur et un mot de passe, souvent intégrés au firmware pour accéder à ces appareils, boum. Vous venez d'installer votre malware sur des milliers et des milliers d'appareils dans le monde, mais vous n'avez pas terminé.
Darki : Imaginez donc que les logiciels malveillants ressemblent à un couteau suisse. Il a beaucoup de fonctionnalités. Il y a beaucoup de choses à l'intérieur, mais nous devons éventuellement essayer d'obtenir le couteau ou les ciseaux, quelque chose comme ça pour se lever et commencer à travailler. Et puis imaginez que la personne qui peut gérer cela. Comme, vous savez, le couteau suisse est une personne très, vous savez, spécifique, comme s'il avait une empreinte digitale ou quelque chose comme ça pour commencer à travailler avec ce couteau suisse.
Vamosi : Donc, si un petit malware peut être fait pour faire une variété de choses différentes. Qu'est-ce qui détermine qu'une fois le malware installé, il appelle une adresse Internet. C'est ce qu'on appelle un serveur de commande et de contrôle. Et c'est ce qui indique au malware ce qu'il doit faire.
Davanien : Le fait est que le serveur CnC est celui qui se connectera à ce malware et lui dit que Hé, démarrez cette communication ou commencez à faire cette activité malveillante. Ce sont les fonctions intégrées au logiciel malveillant, et le serveur CNC est celui qui, vous le savez, demande de le faire. Maintenant, exécutez la fonction A pour exécuter la fonction B. C'est ainsi que le serveur CNC joue un rôle plus important dans le cycle de vie du malware, en vous indiquant quoi faire. Ce sont les étapes, et oui,
Vamosi : un tel processus est lent.
Davanien : Maintenant, vous attaquez tout seul à l'intérieur, vous savez, cela se produit juste après l'infection, d'accord, donc vous devrez peut-être le cacher avec les appareils infectés par le malware, mais ils n'effectuent pas, vous savez, l'attaque DDoS. Lorsque vous parlez de sujet, généralement, pas toujours, mais généralement, il existe un serveur, un serveur de commande et de contrôle qui donne les commandes au logiciel malveillant pour effectuer les actions malveillantes sur le système victime. Ce sont vraiment les clés de la bataille contre le malware. Si nous savons où se trouvent ces serveurs de commande et de contrôle en bref CNCS. Ensuite, la défense serait aussi simple que de bloquer le trafic de ces adresses dans cette recherche, vous essayez de fournir un outil et également une approche générale qui vous permet de trouver un serveur CnC en direct pour une attaque DDoS ou une attaque DDoS se produit lorsque le Le serveur de commande et de contrôle CnC envoie la commande au logiciel malveillant et dit : d'accord, c'est l'adresse que je veux que vous nous donniez, vous savez, supprimez-la. Et comme je l'ai mentionné, si vous savez ce qu'est cette annonce, bloquez simplement le trafic. Cela dit, il n'y aurait pas d'attaque DDoS, et les cibles, disons, d'un autre côté, si vous verrouillez le trafic du serveur c&c, vous pourriez ne pas être infecté. Et la première lecture car il n'y aurait aucun profit et il y a de fortes chances que le malware dipwad ne vienne pas sur votre réseau et infecte votre famille,
Vamosi : Ainsi, le malware est déposé sur l'ordinateur ou l'appareil compromis. Il appelle ensuite d'autres instructions. Dans ce cas de botnet, le serveur CNC est utilisé pour concentrer tous ces appareils compromis sur une seule cible, puis commencer à l'inonder de requêtes.
Davanien : Peut-être pouvons-nous fournir un exemple, par exemple, dans notre cas, vous ciblez les logiciels malveillants IoT, et dans le cas des logiciels malveillants IoT, l'une des choses très destructrices qui peuvent arriver est un déni de service ou des attaques DDoS profondes qui se sont produites en 2016, et les principaux fournisseurs de services comme, puis ils sont sortis, et le résultat a été que GitHub était indisponible pendant un certain temps, nous y avons réfléchi, et nous avons constaté que la clé qui manque ici est de connaître le serveur de commande et de contrôle, car le téléviseur audio les appareils eux-mêmes n'ont pas assez de puissance de traitement, vous savez, pour assurer la sécurité. Vous ne pouvez pas aller de l'avant et installer un antivirus sur l'appareil IoT, ils n'ont pas assez de puissance de traitement.
[music]
Vamosi : Jusqu'à présent, nous avons entendu parler du botnet Mirai, le malware qui a été utilisé pour arrêter le temps, et par la suite des parties importantes d'Internet. D'où vient Moroi. En un mot, le jeu Moroi, qui porte le nom du mot japonais, l'avenir a été vu pour la première fois avant l'heure, et attaque en septembre 2016 lorsque le site Web du journaliste de sécurité Brian Krebs KrebsOnSecurity a été frappé par une attaque DDoS massive d'environ 62 gigabits par seconde. Quelques jours plus tard, l'hébergeur français VH a été touché par une attaque d'un téraoctet par seconde. Une chose que vous ne voulez pas faire est d'énerver un écrivain. Krebs, dont le propre site était en panne pendant quatre jours, a commencé à chercher une cause derrière ces attaques. Et c'est à ce moment-là que le code source du botnet Mirai IoT a été rendu public. D'accord. Pourquoi un pirate informatique rendrait le code source public. Eh bien, il y a beaucoup de théories. Souvent, cela est fait parce que le code n'a plus de valeur marchande, ce qui n'a clairement pas de sens dans ce cas puisqu'il a été utilisé. Un mois plus tard. Eh bien, parfois l'auteur veut rendre l'origine plus ambiguë, en disant simplement, je l'ai récupéré sur Internet. Astucieux. Cependant, le code source a des empreintes digitales, ce qui signifie que vous pouvez voir comment il a été bricolé. Et au fil du temps, Krebs a pu retracer des parties du code source jusqu'à d'autres familles de botnets IoT antérieures.
Darki : Donc, en 2014, c'est à ce moment-là que mon conseiller m'a dit comme bonjour, nous n'avons jamais pensé à sécuriser les routeurs domestiques. Et c'est ce que j'étais alors j'ai décidé de lire s'il y avait des papiers là-dessus, alors je n'ai jamais entendu personne en parler. Et puis quand, quand nous avons commencé à regarder à l'époque, c'était, vous savez, un bouton malveillant, cela s'appelait un Gafgyt. Mais ce n'était pas aussi réussi et infectait beaucoup d'appareils parce que ce n'était pas aussi fou en propagation qu'avec le droit
Vamosi : Gafgyt était l'un des premiers botnets, destiné à des fins ciblées. Donc, la possibilité de se propager d'un appareil à un autre. Eh bien, ce n'était pas vraiment mature.
Darki : Donc, il se passait des choses, vous savez, pendant longtemps, je suppose, comme 2009, je suppose, c'était les premières à venir pour l'IoT, mais avec Mirai. C'est devenu fou avec la vitesse à laquelle il peut infecter les appareils. Et il y a aussi un autre facteur qui est beaucoup plus d'appareils IoT intégrés à notre vie quotidienne. Nous voyons donc beaucoup plus d'appareils et plus d'opportunités pour les attaquants de les infecter.
Vamosi : Alors, qu'est-ce qui a pu pousser ces botnets IoT de niveau intermédiaire, dans le grand temps.
Davanien : Et là, il y a toujours ça. J'appelle ça le facteur argent, il pourrait y avoir une menace. D'accord, mais il n'y a pas assez d'incitations pour les acteurs, vous savez. Mais alors vous pouvez le monétiser. Mais c'est à ce moment-là que vous pouvez voir les dommages qu'ils pourraient faire la même chose avec les ransomwares, c'était la même chose avec les logiciels malveillants IoT, vous savez, les attaques DDoS. À un moment donné, vous savez, l'argent est gagné.
Vamosi : C'est quelque chose que Krebs a découvert. Il a découvert que ces premiers botnets étaient utilisés par un groupe opérant sous le nom de Li dos pour lancer une série d'attaques DDoS importantes et soutenues autour d'une cible Minecraft. Minecraft est un jeu en ligne multijoueur. Si vous n'y avez jamais joué, eh bien, pensez-y plutôt à des Legos numériques. Vous manipulez des blocs colorés pour construire quelque chose d'assez incroyable, et je veux dire vraiment incroyable, comme le rendu de l'ensemble du campus de l'Université de Californie à Berkeley, en ligne et récemment. Reporters sans frontières a créé une bibliothèque anti-censure Minecraft pleine de livres censurés, du texte réel qui peut être lu du monde entier comme une sorte de bibliothèque perdue d'Alexandrie. Il y a donc beaucoup de choses intéressantes à faire avec Minecraft aujourd'hui, mais pour faire tout ce qui nécessite des services d'hébergement assez sérieux, vous devez louer des serveurs capables de gérer la charge de votre monde particulier. Et bien que vous ne puissiez pas vendre de choses directement dans Minecraft, vous pouvez vendre des surfaces de serveur. Et c'est ainsi que les gens gagnent de l'argent avec Minecraft. Certains de ces services de serveur peuvent générer jusqu'à 50 000 par mois. Le problème est qu'il existe aujourd'hui de nombreux services de serveur sur le marché. Alors, comment faites-vous pour que votre nouveau service de serveur se démarque parmi la foule ? Disponibilité. Apparemment, le groupe Liedos irait cibler les serveurs concurrents avec des campagnes DDoS, en refusant les services assez longtemps, les joueurs sérieux quitteraient alors ces services et iraient ailleurs, de préférence vers un service de serveur où les dirigeants avaient un intérêt. Une autre façon de gagner de l'argent avec Minecraft en vendant des services anti DDoS. Et si les attaques et les défenses étaient vendues par la même entreprise. C'est là que l'histoire devient intéressante. L'entité en ligne qui a publié le botnet Mirai et attaqué KrebsonSecurity, en utilisant le nom Anna-Senpai. Eh bien, les publications sur les réseaux sociaux sur les forums de hackers avec Anna-Senpai attaquaient activement toute personne utilisant Qbot et suggéraient plutôt que le tueur de pensée devrait supprimer toute instance de Qbot du serveur. L'une de ces sociétés, Protraf, se présente comme protégeant ces services de serveur Minecraft contre les attaques par déni de service. Selon la crypte, l'auteur de Qbot, également connu sous le nom de bash comme avec quelqu'un du nom de Josiah White, qui se trouve à exécuter protract et White avait au moins un autre partenaire avait protrack, un jeune de 20 ans nommé Piras Jha. Comme l'a dit Krebbs, « comme des pompiers payés pour éteindre les incendies, ils ont commencé à tirer et White ciblerait les organisations avec des attaques DDoS, puis les extorquerait de l'argent pour annuler les attaques ou vendre les services de cette entreprise. Ils ont affirmé que cela aiderait uniquement à repousser ces attaques.
Davanien : Je me souviens que je lisais le post que l'auteur de votre œil est important et que vous publiez le code source que vous écrivez qui en a fait des millions de bons. Il a gagné de l'argent simplement en lançant une attaque DDoS. D'accord, ouais. Je pense qu'elle, vous savez, ce n'est pas en fait que cette menace n'est pas là à aucun moment ni aucun fruit. les dommages que
Vamosi : Krebs a commencé à chercher sur d'autres sites de médias sociaux. Il a noté que le peu que l'on savait d'Anna-Senpai était très similaire à ce qui était connu du public à propos de Ferris Jha, comme c'est le cas avec une autre affiche sur Reddit, quelqu'un du nom de Dreddiscool, qui a publié son genre d'anime japonais, une série animée en particulier son Nom. Mirai Nikki. Il y a aussi un autre angle curieux à l'histoire. Dreadisschool a noté sur Reddit que l'Université Rutgers du New Jersey avait souffert de diverses attaques DDoS, suggérant qu'elles avaient également besoin d'une protection anti DDoS. C'est important parce que Jha était étudiant en informatique à Rutgers, à l'époque. Et rappelez-vous, il se trouvait qu'il travaillait avec des blancs à la société anti DDoS Protraf. D'accord, ce n'était pas une coïncidence. Jha a abandonné Rutgers et n'a jamais obtenu de diplôme. Il s'avère qu'il a été arrêté pour avoir utilisé Miraii pour organiser diverses attaques DDoS, y compris le Dyn. Jha est l'un des auteurs originaux du botnet Mirai, avec White et la troisième personne, Dalton Norman. Et en septembre 2018. Ils ont chacun été condamnés à cinq ans de probation et 2500 heures de travaux d'intérêt général afin de payer 127 000 $ en dédommagement pour les dommages causés par leur malware. En d'autres termes, se faire prendre est vraiment facile. Je veux dire, sérieusement, ils ont coupé le service Internet sur la côte Est pendant une série d'heures, et ils n'ont payé que 127 000 $ chacun, mais si l'affaire Mirai était légère, l'affaire des dossiers était lourde. Dans son mémo de condamnation, le gouvernement américain a déclaré que Jha "s'est révélé dans le tumulte causé par la première attaque, qu'il a lancée pour retarder l'inscription d'un élève de la classe supérieure à un cours d'informatique avancé, il voulait vraiment prendre la deuxième attaque pour retarder son examen de calcul. . Et les deux dernières attaques ont été motivées en partie par la publicité et l'indignation. » Cela représente un total de quatre attaques DDoS contre le système universitaire. Et pour ce travail, cela ne s'est pas fait si facilement. En octobre 2018, le gouvernement américain a révélé des plaidoyers de culpabilité dans l'enquête sur les dossiers et Jha a été condamné à 2500 heures de travaux d'intérêt général, six mois de confinement à domicile, et pour avoir utilisé à plusieurs reprises Mirai pour arrêter les services Internet à Rutgers a été condamné à payer 8,6 millions. en restitution.
Davanien : Vous connaissez tout à fait les forces de l'ordre et plusieurs autres autorités à l'action positive pour éliminer certains bien connus, mais l'un des, vous savez, les principaux facilitateurs, est-ce notre serveur de commande et de contrôle du serveur, n'est-ce pas, et c'est toujours, je veux dire, le guerres là-dessus pendant un certain temps mais c'est quand même, quand j'y pense, ça m'excite bien, imaginez que vous pouvez savoir que vous avez une carte de la guerre, et vous n'avez aucune idée sur leurs plus anciens serveurs CnC sont bas, à ce moment-là . C'est juste, vous connaissez la question de prendre la décision, à droite, vous avez le couvercle en place en appuyant sur le bouton. Si vous êtes forces de l'ordre, ce n'est que de la vitesse. Vous avez le pouvoir. Vous savez où ils se trouvent, pour le coller. Droit. Et d'un autre côté, vous savez, si élevé pour permettre aux forces de l'ordre d'avoir une meilleure idée de qui vous êtes derrière tout ça. Nous avons des preuves que certains de ces, vous savez, des échantillons de logiciels malveillants sont des échantillons de logiciels malveillants différents avec probablement la même précision. Ces questions. Droit. Donc ce n'est pas vous le savez, beaucoup de travail toute la haine sur quelques équipes ou faute d'individus. Le problème, du moins pour l'instant.
[music]
Vamosi : Avec le code source à l'état sauvage, le voyage continue, même si ses auteurs ont été attrapés. Il y avait, par exemple, une variante de l'IRM à l'automne 2019 qui s'est attaquée aux téléviseurs Android.
Davanien : Vous aviez une version de Gafgyt ou Mirait, vous savez que certaines personnes la classent comme Mirai, certaines personnes ont Gafgyt. Cela a commencé dans Android TV, à droite. Et la raison encore, il y en a beaucoup. Et le nombre d'appareils IoT augmente chaque année. D'accord, vous en verrez plus et vous découvrirez que vous êtes vulnérable et que vous pourriez être votre cible potentielle.
Vamosi : Cela s'explique en partie par le fait que la barrière à l'entrée pour les criminels est faible. Je veux dire, si le code source des botnets IoT est disponible, et dans de nombreux cas, les serveurs c&c attendent juste un signal. Eh bien, à quel point cette chose est-elle facile, c'est que nous ne connaissons pas la plupart de ces serveurs CRC, et combien d'entre eux sont en vie. Nous ne savons pas exactement où ils se trouvent, mais les botnets approfondissent leur code source, ils savent exactement où résident ces serveurs c&c.
Darki : Ouais, c'est ça, c'est la chose fascinante à propos de ce malware IoT, vous savez, c'est comme. C'est super facile de travailler avec eux, vous obtenez le code source est disponible, tout le monde peut le trouver. Vous pouvez les obtenir, vous pouvez le modifier un peu, puis vous le relâchez pendant un certain temps, et en quelques heures, vous pouvez recruter jusqu'à 1000 appareils IoT en un instant. La chose à propos de ceux-ci est que le code source de ces logiciels malveillants IoT. Il vous fournit également le serveur CNC. Donc, comme, le code source du serveur CNC existe. La seule chose qui vous appartient est de trouver l'adresse IP pour y déployer le serveur CNC, ou dans certains cas de faire un VGA ou d'enregistrer un domaine pour celui-ci. Il continue donc d'exister.
Vamosi : Alors, qu'est-ce qu'Allie et Ahmed ont commencé avec, eh bien, très peu en tant qu'universitaires en tant que chercheurs en sécurité indépendants non soutenus par une grande entreprise anti-malware, ils avaient accès à certains binaires de logiciels malveillants, accès à une liste noire IP, et ils avaient des informations partielles sur le la communication malveillante elle-même. Ce qu'ils n'avaient pas, c'était l'accès au trafic réseau ou l'accès aux sociétés antivirus, aux capteurs,
Darki : C'est le, c'est le problème, vous savez, ce travail, ce n'était pas à l'époque où nous avons commencé à travailler sur le réseau IoT, ce n'était pas le cas. Fondamentalement, 2014 ou 15 Il n'y avait aucun outil qui vous permettrait de faire des analyses et ceux-ci, vous savez, les logiciels malveillants IoT, comme tout le monde le sait, Windows, les logiciels malveillants Linux. Il y a tellement de services en ligne basés sur le cloud qui peuvent vous aider avec ça, mais qu'est-ce qui nous motive à penser à proposer une solution systématique proposant quelque chose que nous pouvons penser que peu importe quel est le malware, nous allons pour qu'il commence à s'exécuter, quelle que soit la cible qui essaie d'atteindre. Mais en ce qui concerne l'IoT, nous pouvons le faire commencer à parler et le faire commencer à s'exécuter et à communiquer avec ce serveur CNC.
Vamosi : Allie et Ahmed ont finalement décidé de le faire en activant le malware IoT. Cela signifie qu'ils ont réellement exécuté le malware IoT et l'ont laissé communiquer avec le monde extérieur. Ensuite, ils utilisent une technique de personne intermédiaire pour rediriger le trafic CNC vers certaines adresses candidates qu'ils ont créées. Tu fais
Davanien : avoir un outil. C'est open source, et nous avons entièrement automatisé chaque élément de ce dont vous avez besoin n'est, vous savez, qu'un échantillon de malware. Et si vous souhaitez l'utiliser dans la session que nous proposons et qui analyse, vous connaissez les adresses IP. Vous n'avez même pas besoin d'avoir des chiffres très récents avec l'exemple qui était l'autre partie de la raison pour laquelle nous avons fait ce travail, je voulais que vous sachiez pouvoir extraire des échantillons de logiciels malveillants qui existent, les reconnaître, puis rechercher le cancer. Mais notre solution, vous savez, nous venons, nous avons des antécédents d'académies, et pour nous c'est vous savez, la méthode générale, vous connaissez cette solution, d'accord, les gens veulent une solution, c'est un algorithme dont vous connaissez une approche. Cela fonctionne, vous savez, cela ne dépend pas vraiment de chaque ligne de code. Vous pouvez adopter l'approche intégrée à votre propre système d'analyse dynamique ou système d'analyse de logiciels malveillants que vous avez mis en place, mais nous avons également fourni un prototype. L'approche que nous avons et comme je l'ai dit, elle est entièrement automatisée
Vamosi : le CNC Hunter a deux parties. Le premier étant le bac à sable qui contient et exécute
Darki : le malware, en expliquant un peu à quoi ressembleraient le bac à sable et le module de profil. Donc, dans ce projet, en utilisant Quemu. Quemu me permet d'émuler certaines des architectures CPU peu courantes comme MIPS powerPC ou MIPS cell. C'est donc quelque chose que nous avons choisi d'utiliser, et que nous sommes, nous attachons Kirtle à nous et que Google a en cours d'exécution, puis nous y attacherons également un système de fichiers. Cela nous permettra d'avoir une sorte d'enregistrement et d'instantané de tout ce que fait le malware et l'enregistrement actuel obtient, vous savez, un système appelé traces et ainsi de suite. Nous attachons également un périphérique à la commune, afin que nous puissions rediriger le trafic vers le proxy dans lequel nous entrerons plus tard et le périphérique TAP nous permettrait également de faire un enregistrement du trafic réseau obtenu.
Vamosi : La deuxième partie est le module de l'homme du milieu, qui intercepte la communication avec le serveur CNC.
Davanien : L'objectif de l'homme du milieu du composant MiTM est de rediriger le trafic CNC vers les adresses candidates. Comme nous l'avons mentionné à quelques reprises, ces candidats adressent nos entrées, à droite, nous soupçonnons qu'ils hébergent des serveurs CNC. L'homme au milieu est basé sur IP ici, et nous allons exploiter le trafic, et également fournir Internet pour le bon sandwich. Nous sommes donc en fait un homme au milieu dans le vrai trafic qui va au Canada,
Vamosi : Comme nous l'avons mentionné, obtenir les échantillons de logiciels malveillants n'est pas trop difficile.
Davanien : Il existe de nombreux référentiels de logiciels malveillants qui vous permettent de voir quels logiciels malveillants sont actifs dans la nature. à l'heure actuelle. Cette date est petite et vous avez observé que généralement l'interface utilisateur. C'est une très vieille famille de malwares. Le responsable du retour en arrière que j'ai mentionné contre les principaux fournisseurs de services est toujours l'un des échantillons de logiciels malveillants les plus vus et ils en sont un, n'est-ce pas. Vous avez juste comme un virus comme par exemple, covid 19 Vous verriez des variantes, vous verriez plus de mutations, mais c'est toujours, vous savez, un malware d'interface utilisateur. Et cela montre qu'après cinq ans, nous avons vu pour la première fois des logiciels malveillants Mirai UI, les solutions actuelles, vous savez que les défenses que nous avons en place ne fonctionnent pas, comme nous le souhaitons.
Vamosi : Encore une fois, c'est pourquoi Ali et Ahmad n'ont pas fait beaucoup confiance aux appareils, ils se sont plutôt tournés vers le réseau.
Davanien : Si vous savez ce que fait cette application, c'est simplement bloquer le trafic, vous savez, il n'y aurait pas d'attaque de téléspectateurs, et la cible, disons, d'un autre côté, si vous verrouillez le trafic du serveur c&c, vous pourriez ne pas être infecté en premier lieu, car il n'y aurait pas de trafic et il y a de fortes chances que le malware dipwad n'arrive pas sur votre réseau et n'infecte votre carte.
[music]
Vamosi : L'un des défis avec l'IoT est que nous voulons que les appareils communiquent sur le réseau, mais ce faisant, nous n'intégrons pas souvent la sécurité, voire quoi que ce soit, nous incluons les anciens protocoles et les transformons en petits chipsets obsolètes,
Davanien : Ce que nous pensions, c'est que pour l'IoT, c'est toujours une industrie en pleine croissance, et vous auriez des fournisseurs qui viennent juste d'arriver sur le marché, la bonne sécurité est leur dernière. Ce n'est pas comme si nous pouvions le sécuriser. C'est qu'ils ne veulent pas ou ce n'est pas là pour vous. Et puis quand on regarde les points de terminaison, ou les utilisateurs, ils n'ont pas les connaissances, probablement la chance, alors c'est là que le périmètre du réseau serait important et c'est pourquoi vous êtes motivé pour faire ce travail car en tant que périmètre du réseau, vous avez la volonté, vous avez tous entendu cela, vous savez, par exemple, l'une des choses qui pourraient arriver. D'accord, s'ils savent où se trouvent les serveurs CnC et si l'intelligence est opportune, ils peuvent alors bloquer le trafic et, espérons-le, sécuriser tous les nœuds qui s'y trouvent.
Vamosi : Les appareils eux-mêmes deviennent de moins en moins chers, oui, mais préférez-vous mettre à niveau le micrologiciel sur une brosse à dents, probablement pas. Si vous jouez cela dans toute votre maison. Qu'allez-vous faire, par exemple, prendre un samedi matin entier une fois par mois, passer en revue tous vos appareils IoT et vous assurer qu'ils fonctionnent avec le dernier et le meilleur firmware. Probablement pas. Inversement, si vous pensez que les brosses à dents à 40 $ génèrent même une mise à jour, et le logiciel pour commencer. Ce n'est probablement pas vrai non plus. Ouais, c'est le
Darki : comme lorsque vous pensez à l'IoT et à l'écosystème IoT. À l'heure actuelle, il n'y aura pas de solution miracle si vous ne mettez pas à jour tous les appareils IoT dans le monde afin que ces vulnérabilités n'existent plus afin qu'elles ne soient pas exploitées. Notre choix pour le moment est de supprimer leurs, vous savez, les serveurs. Pour le moment, supprimons-les et débarrassons-nous d'eux, afin que nous puissions arrêter la propagation et un meilleur moyen de défense, ainsi que les appareils grand public tels que les téléviseurs intelligents ou les brosses à dents compatibles Internet. Ils offrent un vaste paysage avec les appareils IoT commerciaux que vous avez plus grands que vous savez que vous pouvez cibler. Cela vous permet de connaître la manipulation dont nous venons de parler, et plus d'argent, vous savez, juste parce que vous êtes, si vous parlez de données que vous avez plus de mégots sous votre contrôle. L'attaque serait plus à couvert. Alors tu vas là-bas. Droit. Et il y a aussi la chance que vous sachiez avoir plus de choses si le nombre de, vous savez que vos cibles sont plus nombreuses. Même si les catéchismes des mécanismes de sécurité s'amélioraient, vous auriez toujours une grande, une bonne chance d'avoir un grand nombre d'appareils vulnérables. Droit. Mais si vous ciblez, par exemple, les appareils IoT industriels. Juste parce que le nombre serait probablement inférieur, alors vous avez, vous savez, moins de chances d'avoir le même nombre de bots.
Vamosi : pour l'instant au moins, le monde de l'IoT est le Far West, et personne ne construit vraiment la sécurité. Donc, des techniques comme celles proposées par Aliona med sont plutôt brillantes.
Darki : Vous savez même, on va dire, économiquement, ce n'est pas vraiment d'intérêt pour l'industrie de proposer ce mécanisme de mise à jour et de faire une mise à jour et en plus parce que ce sont très des appareils, apparemment, et ils sont comme d'accord si vos appareils, cassés va acheter le même pour environ 10 $ Quelque chose comme ça. Ce n'est donc pas vraiment qu'ils ne soient pas vraiment intéressés à trouver une solution pour que les gens gardent l'appareil pour toujours. Droit. Je pense toujours que c'est le cas, même si ce n'est pas le cas, l'industrie décide de mettre à jour les appareils. Je pense que les bots vont continuer à devenir de plus en plus compliqués. Au lieu d'exploiter ce que nous appelons un type de vulnérabilité de date de fin, il s'agira d'exploiter les vulnérabilités zero day pour exploiter autant d'appareils qu'ils ne le peuvent pas. Et je pense que la balle ne peut pas être dans leur camp, ça devrait être comme ça. Il a dit qu'il devrait appartenir à l'ISP ou aux forces de l'ordre de contenir ces botnets.
Vamosi : Je voudrais vraiment remercier Ali et Ahmed, pour m'avoir parlé de leur projet. Gartner estime qu'il y aura plus de 65 milliards d'appareils IoT connectés dans le monde d'ici 2025. Étant donné que ces appareils sont petits, voire jetables dans certains cas, il n'est pas logique de se concentrer sur la sécurisation de chacun d'entre eux. Au contraire, renverser le modèle et regarder du côté du réseau, les serveurs CnC qui exploitent le malware IoT, semble être une solution plus viable. En se concentrant sur les serveurs CnC, les forces de l'ordre peuvent par exemple arrêter les plus agressifs, et peut-être même commencer à identifier les acteurs qui en sont responsables. Mais à tout le moins, nous pouvons également verrouiller nos réseaux pour empêcher les serveurs CNC de se connecter aux appareils infectés que nous pouvons contrôler. C'est un truc intéressant.
Continuons cette conversation. Envoyez-moi un DM à Robert Vamosi sur Twitter, ou rejoignez-moi sur subreddit ou discord. Vous pouvez trouver les deets chez hacker esprit.com
The Hacker Mind vous est présenté toutes les deux semaines, sans publicité par ForAllSecure.
Pour The Hacker Mind, je reste votre sympathique serveur de voisinage, de commandement et de contrôle, Robert Vamosi.
Commentaires
Laisser un commentaire