I ricercatori di sicurezza hanno individuato una nuova variante del malware Mirai (ne abbiamo parlato qui e qui) , che ha come obiettivo quello di infettare i dispositivi IoT e dispositivi di rete per trasformarli in una rete di Proxy Server da usare per direzionare traffico dannoso. Le botnet di rete usate come Proxy Server non sono affatto una novità: lo scorso anno ne sono state individuate moltissime, la più famosa è stata la Linux.ProxyM.
Funzione Proxy e funzione DDoS
I ricercatori però hanno individuato una novità peculiare in questa nuova versione del famigerato Mirai: questa variante contiene sia la funzione proxy che quella DDoS. Non ne sono concordi alcuni utenti della comunità infosec, che dichiarano che ancora non c'è certezza della compresenza delle due
funzioni in questa botnet. In realtà è verosimile credere che questa variante abbia entrambe le funzioni perchè precedenti varianti della botnet Mirai avevano subito vari aggiustamenti per funzionare come proxy server: nessuna di queste però, probabilmente poichè versioni test, ha mai visto una massiccia distribuzione. In ogni caso anche queste versioni, pur introducendo la funzione proxy, miglioravano e affinavano principalmente al funzione DDoS.
L'attuale variante Mirai
La variante attuale si distingue perchè è la prima variane distribuita con continuità che mette sullo stesso livello di importanza la funzione proxy e quella DDoS. I ricercatori hanno chiamato questa variante OMG, perchè in alcune parti del codice sorgente del malware, dove un tempo si trovava il termine Mirai si trova la stringa OOMGA. Così questa variante si aggiunge alle svariate della famiglia Mirai: le pià famose sono state Satori, Masuta e Akuma.
Che cosa fa questa variante?
Che cosa fa questa variante?
- devia il traffico per nascondere la vera location dei server C&C;
- agisce come punto di lancio per attacchi dizionario e brute force, per bypassare i software di sicurezza che limitano il numero di tentativi falliti per IP;
- lancia attacchi di SQL injection, attacchi XSS e altri per eseguire exploit delle applicazioni web ecc...
Dato che Mirai OMG si affida alla classica tecnica di diffusione sui dispositivi tramite attacchi di brute force contro dispositivi protetti da password deboli, potrebbe essere già sufficiente per difendere un dispositivo IoT la modifica delle password di default.
Nessun commento:
Posta un commento