Wikipedia

Mirai (malware): differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
FrescoBot (discussione | contributi)
Bot
3 592 630 modifiche
m Bot: parametri del template Cita web e modifiche minori
Riga 13:
Mirai è costituito da due componenti principali, il [[Virus (informatica)|virus]] e il Command and Control (CnC).
 
Il virus sfrutta un dispositivo infetto per cercare continuamente [[Indirizzo IP|indirizzi IP]] di altri dispositivi IoT da compromettere<ref>{{Cita web|url=https://www.corero.com/resources/ddos-attack-types/mirai-botnet-ddos-attack.html|titolo=The Mirai Botnet: All About the Latest Malware DDoS Attack Type {{!}} Corero|sito=www.corero.com|lingua=en|accesso=2018-02-03}}</ref>. Tuttavia, Mirai possiede una lista di indirizzi IP da ignorare direttamente nel suo codice. Tra questi vi sono gli indirizzi riservati al Servizio Postale degli Stati Uniti, al [[Dipartimento della Difesa degli Stati Uniti d'America|Dipartimento della Difesa]], all’[[Internet Assigned Numbers Authority|Internet Assigned Numbers Authority (IANA)]], alla [[Hewlett-Packard]] e alla [[General Electric]]<ref>{{Cita web|url=https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html|titolo=https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html|sito=www.incapsula.com|accesso=2018-02-03}}</ref>.
 
Il processo di ricerca è sempre in esecuzione su ogni BOT infettato e usa il protocollo [[Telnet]] tentando di accedere in modo casuale ai vari indirizzi IP. Per effettuare il login, sfrutta un [[attacco a dizionario]], ossia una tecnica di forza bruta che prevede di svolgere svariati tentativi con credenziali comuni tra i dispositivi IoT. Queste credenziali vengono recuperate da una collezione di 60 coppie di username e password di default memorizzate nel codice sorgente. Quando ottiene l’accesso ad un dispositivo lo infetta con il malware e comunica al Command and Control l’identità del nuovo BOT e le sue credenziali. I dispositivi infettati continuano a funzionare normalmente ma aumenta l’uso della [[Banda (informatica)|banda]].
Riga 22:
 
== Attacchi DDoS ==
Mirai è stato utilizzato, insieme a [[BASHLITE]], <ref>{{Cita web|url=https://arstechnica.com/information-technology/2016/10/double-dip-internet-of-things-botnet-attack-felt-across-the-internet/|titolo="Double-dip Internet-of-Things botnet attack felt across the Internet"}}</ref> nell'attacco DDoS del 20 settembre 2016 sul sito di [[Brian_Krebs|Krebs on Security]] che ha raggiunto i 620 Gbit / s. [[Ars Technica]] ha anche riportato un attacco da 1 Tbit / s sul web host [[OVH]] francese <ref>{{Cita web|url=https://securityintelligence.com/news/leaked-mirai-malware-boosts-iot-insecurity-threat-level/|titolo="Leaked Mirai Malware Boosts IoT Insecurity Threat Level"}}</ref>.
 
Il 21 ottobre 2016 si sono verificati più attacchi DDoS nei servizi [[Domain_Name_System|DNS]] del fornitore di servizi DNS Dyn utilizzando il malware Mirai installato su un gran numero di [[Internet delle cose|dispositivi IoT]], con conseguente inaccessibilità di diversi siti Web di alto profilo come [[GitHub]], [[Twitter]], [[Reddit]], [[Netflix]], [[Airbnb]] e molti altri. <ref>{{Cita web|url=https://www.theregister.co.uk/2016/10/21/dyn_dns_ddos_explained/|titolo="Today the web was broken by countless hacked devices"}}</ref>
 
In seguito, Mirai è stato utilizzato durante gli attacchi DDoS contro la [[Rutgers University]] dal 2014 al 2016, che ha impedito a facoltà e studenti di accedere a Internet all'esterno del campus per diversi giorni; inoltre, un fallimento del [[Central Authentication Service]] ha reso la registrazione del corso e altri servizi non disponibili durante i periodi critici del semestre accademico. Secondo quanto riferito, l'università ha speso $ 300.000 in consultazione e aumentato il budget per la sicurezza informatica dell'università di $ 1 milione in risposta a questi attacchi. L'università ha citato gli attacchi tra le ragioni per l'aumento delle tasse scolastiche e delle tasse per l'anno scolastico 2015-2016 .<ref>{{Cita web|url=https://www.northjersey.com/story/news/2017/12/13/union-county-man-pleads-guilty-rutgers-cyber-attacks/949591001/|titolo="Former Rutgers student pleads guilty in cyber attacks"}}</ref>
 
Lo staff di Deep Learning Security ha osservato la costante crescita delle botnet Mirai prima e dopo l'attacco del 21 ottobre. <ref>{{Cita web|url=https://medium.com/@deeplearningsec/think-mirai-ddos-is-over-it-aint-96298a9ff896|titolo="Think Mirai DDoS is over? It ain’t!!"}}</ref>
 
Mirai è stato utilizzato anche in un attacco all'infrastruttura Internet della [[Liberia]] nel novembre 2016. Secondo l'esperto di sicurezza informatica Kevin Beaumont, l'attacco sembra aver avuto origine dall'attore che ha attaccato anche Dyn. <ref>{{Cita web|url=https://www.telegraph.co.uk/technology/2016/11/04/unprecedented-cyber-attack-takes-liberias-entire-internet-down/|titolo="Unprecedented cyber attack takes Liberia's entire internet down"}}</ref>
 
Il sito Web Security Affairs è stato disconnesso per più di un'ora solo venti minuti dopo aver pubblicato un articolo su Mirai Okiru il 14 gennaio 2018 . <ref>{{Cita web|url=https://exchange.xforce.ibmcloud.com/collection/Okiru-botnet-targets-ARC-processors-widely-used-in-IoT-devices-fe6d7b56a5873e18b30279004fa0dd29|titolo="Okiru botnet targets ARC processors widely used in IoT devices"}}</ref>
 
== Identità dell'autore ==
Il 17 gennaio 2017, il giornalista della sicurezza informatica [[Brian Krebs]] ha pubblicato un articolo sul suo blog, Krebs on Security, in cui ha rivelato il nome della persona che riteneva avesse scritto il malware. Krebs ha dichiarato che la probabile identità nella vita reale di Anna-senpai (dal nome di Anna Nishikinomiya, un personaggio di [[Shimoneta]]), l'autore di Mirai, era in realtà Paras Jha. Jha è proprietario di una società di servizi di mitigazione DDoS ProTraf Solutions e uno studente della [[Rutgers University]]. In un aggiornamento dell'articolo originale, Paras Jha ha risposto a Krebs e ha negato di avere scritto Mirai. <ref>{{Cita web|url=https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/|titolo="Who is Anna-Senpai, the Mirai Worm Author?"|accesso=14 febbraio 2018|urlarchivio=https://web.archive.org/web/20170122013744/https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/|dataarchivio=22 gennaio 2017|urlmorto=sì}}</ref>
 
== Altri incidenti legati a Mirai ==
Riga 42:
Ad esempio, nel novembre del 2016 più di 900˙000 [[router]] della [[Deutsche Telekom]] sono finiti offline dopo essere stati infettati da una variante di Mirai. Questo malware si è inserito all’interno dei router sfruttando una vulnerabilità nel protocollo [[TR-069]], che permette al fornitore di aggiornare da remoto il [[firmware]] dei dispositivi. Questa nuova versione di Mirai, implementava una funzione specifica per il bersaglio dell’attacco. Infatti, dopo aver infettato il router, terminava tutti i processi e i protocolli attivi per la [[Porta (informatica)|porta]] 7547, la stessa usata dal protocollo TR-069, in questo modo ha potuto inibire la manutenzione dei dispositivi per diverso tempo<ref>{{Cita web|url=https://krebsonsecurity.com/2016/11/new-mirai-worm-knocks-900k-germans-offline/|titolo=New Mirai Worm Knocks 900K Germans Offline — Krebs on Security|sito=krebsonsecurity.com|lingua=en-US|accesso=2018-02-03}}</ref>.
 
Un caso analogo si è avuto in Inghilterra nel dicembre del 2016. Un malware, sfruttando la stessa tecnica del caso tedesco, ha infettato un elevato numero di router, quasi tutti appartenenti alla TalkTalk Telecom<ref>{{Cita web|url=https://www.incapsula.com/blog/new-variant-mirai-embeds-talktalk-home-routers.html|titolo=https://www.incapsula.com/blog/new-variant-mirai-embeds-talktalk-home-routers.html|sito=www.incapsula.com|accesso=2018-02-03}}</ref>.
 
== Note ==
Estratto da "https://it.wikipedia.org/wiki/Mirai_(malware)"