Versione delle 19:26, 6 gen 2018 modifica Elninopanza (discussione \| contributi) 5 261 modifiche mNessun oggetto della modifica ← Differenza precedente		Versione delle 19:11, 3 feb 2018 modifica annulla Giovanni Fiorini (discussione \| contributi) 6 modifiche Espansione della voce per Progetto:Coordinamento/Scuole/Sicurezza informatica all'Università di Ferrara 2017-2018 Etichetta: Modifica visuale Differenza successiva →
Riga 1: {{S\|sicurezza informatica}} {{Software \| Nome = Mirai \| Sviluppatore = Anna-senpai (pseudonimo) \| SistemaOperativo = linux \| Linguaggio = c \| Linguaggio2 = go \| Genere = malware \| Licenza = [[Open source]] \| SitoWeb = https://github.com/jgamblin/Mirai-Source-Code ~~\|SitoWeb =~~ }} ~~'''~~Mirai~~'''~~ (dal giapponese 未来, “futuro”) è un [[malware]] ~~che~~progettato ~~trasforma~~per ioperare ~~sistemi~~su ~~informatici~~dispositivi inconnessi a Internet, specialmente dispositivi [[~~botnet~~Internet delle cose\|IoT]], ~~controllabili~~rendendoli daparte ~~remoto,~~di leuna ~~quali~~[[botnet]] che ~~possono~~può essere ~~utilizzate~~usata inper attacchi informatici su larga scala<ref>{{Cita news\|lingua=en\|nome=John\|cognome=Biggs\|url=https://techcrunch.com/2016/10/10/hackers-release-source-code-for-a-powerful-ddos-app-called-mirai/\|titolo=Hackers Èrelease ~~stato~~source ~~scoperto~~code ~~dal~~for ~~famoso~~a ~~gruppo~~powerful ~~non~~DDoS ~~profit~~app ~~MalwareMustDie~~called Mirai\|pubblicazione=TechCrunch\|accesso=2018-02-03}}</ref>. ~~che~~La ~~per~~botnet lacreata ~~prima volta~~da ~~lo ha analizzato e gli ha dato il nome che per la precisione~~Mirai è ~~Linux/Mirai,~~stata ~~pubblicando~~scoperta ~~una~~nell’agosto ~~ricerca~~del ~~molto~~2016 ~~dettagliata~~da ~~sul proprio [[blog]].~~MalwareMustDie<ref>{{~~cita~~Cita web\|url=http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html\|titolo=MMD-0056-2016 - Linux/Mirai, how an old ELF malcode is recycled.. · MalwareMustDie!\|sito=blog.malwaremustdie.org\|lingua=en-us\|accesso=2018-02-03}}</ref>, Iun’organizzazione ~~suoi~~nonprofit ~~obiettivi~~impegnata ~~principali~~nella ~~sono~~ricerca iper ~~dispositivi~~la ~~elettronici~~sicurezza diinformatica ~~consumo,~~ed ~~come~~è ~~telecamere~~stata ~~casalinghe~~utilizzata elo stesso anno in svariati attacchi [[~~router~~DDoS]]. LaIl ~~botnet~~codice ~~creata~~sorgente dadi Mirai è ~~stata~~stato ~~utilizzata~~pubblicato insu ~~alcuni~~GitHub ~~dei maggiori~~in [[~~distributed~~open ~~denial-of-service\|attacchi DDoS~~source]],. ~~tra~~Dalla ~~cui~~sua ~~quello~~pubblicazione, alle ~~sito~~tecniche ~~ufficiale~~utilizzate ~~del~~da ~~giornalista~~Mirai ~~[[Brian~~sono ~~Krebs]]~~state riprese e ~~[[attacco~~adattate ~~informatico~~in ~~alla~~diversi ~~Dyn dell'ottobre 2016\|quello dell'ottobre 2016 alla Dyn]].~~malware<ref>{{~~cita~~Cita ~~web~~news\|lingua=en\|nome=Michael\|~~http~~cognome=Kan\|url=https://www.~~corriere~~itworld.itcom/~~esteri~~article/~~16_ottobre_23~~3132570/~~che~~hackers-~~cos~~create-emore-iot-~~dove~~botnets-~~viene~~with-mirai-~~malware-cyber-attacco-usa-b6e3777a-9929-11e6-8bff~~source-~~dd2b744d8dfe~~code.~~shtml~~html\|~~Che~~titolo=Hackers ~~cos’è~~create emore daIoT ~~dove~~botnets ~~viene~~with Mirai, ilsource ~~malware del cyber attacco negli Usa~~code\|pubblicazione=ITworld\|accesso=2018-02-03}}</ref>. == Malware == ~~Il primo a scriverne al mondo è stato Security Affairs un blog italiano che ha ripreso attraverso un suo blogger Odisseus le caratteristiche salienti del malware Mirai.~~ Mirai è costituito da due componenti principali, il [[Virus (informatica)\|virus]] e il Command and Control (CnC). Il virus sfrutta un dispositivo infetto per cercare continuamente [[Indirizzo IP\|indirizzi IP]] di altri dispositivi IoT da compromettere<ref>{{Cita web\|url=https://www.corero.com/resources/ddos-attack-types/mirai-botnet-ddos-attack.html\|titolo=The Mirai Botnet: All About the Latest Malware DDoS Attack Type {{!}} Corero\|sito=www.corero.com\|lingua=en\|accesso=2018-02-03}}</ref>. Tuttavia, Mirai possiede una lista di indirizzi IP da ignorare direttamente nel suo codice. Tra questi vi sono gli indirizzi riservati al Servizio Postale degli Stati Uniti, al [[Dipartimento della Difesa degli Stati Uniti d'America\|Dipartimento della Difesa]], all’[[Internet Assigned Numbers Authority\|Internet Assigned Numbers Authority (IANA)]], alla [[Hewlett-Packard]] e alla [[General Electric]]<ref>{{Cita web\|url=https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html\|titolo=https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html\|sito=www.incapsula.com\|accesso=2018-02-03}}</ref>. ~~Erano i primi di Settembre del 2016: dopo la prima pubblicazione si contano decine di articoli sulle caratteristiche di questo nuovo malware che colpisce le IoT, ovvero Internet of Things.~~ Il processo di ricerca è sempre in esecuzione su ogni BOT infettato e usa il protocollo [[Telnet]] tentando di accedere in modo casuale ai vari indirizzi IP. Per effettuare il login, sfrutta un [[attacco a dizionario]], ossia una tecnica di forza bruta che prevede di svolgere svariati tentativi con credenziali comuni tra i dispositivi IoT. Queste credenziali vengono recuperate da una collezione di 60 coppie di username e password di default memorizzate nel codice sorgente. Quando ottiene l’accesso ad un dispositivo lo infetta con il malware e comunica al Command and Control l’identità del nuovo BOT e le sue credenziali. I dispositivi infettati continuano a funzionare normalmente ma aumenta l’uso della [[Banda (informatica)\|banda]]. Le modalità di funzionamento di Mirai sono note, poiché il suo [[codice sorgente]] è stato pubblicato nei forum di hacker. Dopo che il codice è stato reso pubblico, parti di esso sono state incorporate in altri malware.<ref>{{cita web\|http://www.corrierecomunicazioni.it/digital/44111_attacco-a-twitter-ecco-il-software-zombie-che-ha-messo-in-ginocchio-i-giganti-dell-online.htm\|Scoperto il software "zombie" che ha hackerato Twitter & co}}</ref> Mirai è scritto principalmente in [[C (linguaggio)\|C]] ed è progettato per diverse architetture (x86, ARM, Sparc, PowerPC, Motorola) in modo da coprire il maggior numero di [[CPU]] utilizzate nei dispositivi IoT. L’immagine del malware è leggera e implementa diverse tecniche per passare inosservata e nascondere i suoi meccanismi interni. In particolare, dopo che il virus viene caricato nella [[RAM\|memoria volatile]] del BOT si autoelimina dal disco dello stesso. In questo modo, il malware persiste sul dispositivo finché non viene riavviato. Tuttavia, al termine del reboot, se le credenziali di accesso non vengono velocemente modificate, il dispositivo verrà nuovamente scoperto e re-infettato. Inoltre, Mirai indentifica eventuali malware concorrenti già attivi sul dispositivo e li rimuove. Per farlo sfrutta uno [[script]] che termina tutti i processi che utilizzano servizi come [[SSH File Transfer Protocol\|SSH]], [[Telnet]] e [[Hypertext Transfer Protocol\|HTTP]]. Mirai scansiona continuamente la rete cercando dispositivi [[Internet delle cose\|IoT]] e cerca di infettarli utilizzando una lista di nomi utente e password impostati di default dalle aziende produttrici nei loro dispositivi. Un dispositivo rimane infettato finché non viene riavviato; quindi, se la password non viene modificata immediatamente, viene di nuovo infettato entro pochi minuti.<ref>{{cita web\|http://www.wired.it/internet/web/2016/10/23/come-funziona-mirai-il-malware-che-ha-spento-internet/\|Come funziona Mirai, il malware che ha spento Internet}}</ref> Mirai ha una lista di [[sottorete\|sottoreti]] che è programmato per non infettare, tra cui alcune [[indirizzo IP privato\|reti private]] e indirizzi appartenenti allo [[United States Postal Service]] e al [[Dipartimento della Difesa degli Stati Uniti d'America\|Dipartimento della Difesa degli Stati Uniti]]. Il Command and Control implementato da Mirai supporta una semplice interfaccia a riga di comando, che permette all’attaccante di specificare un vettore di attacco, ossia uno o più indirizzi IP vittima e la durata dell’attacco. Per quanto riguarda le funzioni di attacco, Mirai è capace di lanciare varie tipologie di attacchi [[Denial of service\|DDoS]]. A [[Livello di applicazione\|livello applicazione]] può lanciare attacchi di tipo HTTP floods, mentre a [[livello di rete]] e [[Livello di trasporto\|trasporto]] è capace di lanciare attacchi di tipo GRE IP and GRE ETH floods, SYN and ACK floods, STOMP floods, DNS floods e UDP flood. Inoltre, il CnC è sempre in attesa che i BOT comunichino i nuovi dispositivi infettati e le loro credenziali, le quali vengono usate per copiare il codice del virus e ampliare la Botnet. Si stima che ci siano centinaia di migliaia di dispositivi IoT che usano le impostazioni di fabbrica e sono perciò vulnerabili al virus. Una volta che un dispositivo è stato infetto, si connette ad un server di controllo che gli fornisce un obiettivo da attaccare. == Attacchi DDoS == Oltre al già citato [[attacco informatico alla Dyn dell'ottobre 2016\|attacco del 21 ottobre 2016 alla Dyn]], la botnet creata da Mirai è stata usata il 27 novembre 2016 per bloccare circa 900mila connessioni Internet e telefoniche in Germania. L'attacco è stato effettuato sfruttando una vulnerabilità dei [[router]] forniti da [[Deutsche Telekom]] ai suoi clienti.<ref>{{cita web\|http://www.repubblica.it/tecnologia/sicurezza/2016/11/29/news/attacco_hacker_a_telekom_cosi_mirai_colpisce_l_internet_delle_cose-153075288/\|Attacco hacker a Telekom, così la botnet Mirai colpisce l'Internet delle cose}}</ref> == Altri incidenti legati a Mirai == Dopo gli attacchi perpetrati tramite Mirai, vi sono stati altri attacchi che hanno sfruttato il codice e le logiche di Mirai stesso per creare versioni evolute del malware originale. Ad esempio, nel novembre del 2016 più di 900˙000 [[router]] della [[Deutsche Telekom]] sono finiti offline dopo essere stati infettati da una variante di Mirai. Questo malware si è inserito all’interno dei router sfruttando una vulnerabilità nel protocollo [[TR-069]], che permette al fornitore di aggiornare da remoto il [[firmware]] dei dispositivi. Questa nuova versione di Mirai, implementava una funzione specifica per il bersaglio dell’attacco. Infatti, dopo aver infettato il router, terminava tutti i processi e i protocolli attivi per la [[Porta (informatica)\|porta]] 7547, la stessa usata dal protocollo TR-069, in questo modo ha potuto inibire la manutenzione dei dispositivi per diverso tempo<ref>{{Cita web\|url=https://krebsonsecurity.com/2016/11/new-mirai-worm-knocks-900k-germans-offline/\|titolo=New Mirai Worm Knocks 900K Germans Offline — Krebs on Security\|sito=krebsonsecurity.com\|lingua=en-US\|accesso=2018-02-03}}</ref>. Un caso analogo si è avuto in Inghilterra nel dicembre del 2016. Un malware, sfruttando la stessa tecnica del caso tedesco, ha infettato un elevato numero di router, quasi tutti appartenenti alla TalkTalk Telecom<ref>{{Cita web\|url=https://www.incapsula.com/blog/new-variant-mirai-embeds-talktalk-home-routers.html\|titolo=https://www.incapsula.com/blog/new-variant-mirai-embeds-talktalk-home-routers.html\|sito=www.incapsula.com\|accesso=2018-02-03}}</ref>. == Note == <references /> == Voci correlate == * [[Denial of Service]] * [[Malware]] * [[Domain Name System\|DNS]] {{Portale\|Sicurezza informatica}}

Mirai (malware): differenze tra le versioni