Mirai a deux ans, et ça va pas mieux

Envoyé spécial Botconf (Toulouse) – Mirai, de l’histoire ancienne ? On pourrait croire que l’histoire de ce botnet d’objets connecté est aujourd’hui une affaire classée. Il n’en est rien. Les auteurs du malware originel ayant fait les gros titres en 2016 ont pourtant bien été arrêtés et collaborent aujourd’hui avec la police américaine. Leur rôle consiste à apporter leurs expertises pour lutter contre d’autres botnets reprenant le code source et le fonctionnement de Mirai, dont le code source avait été publié en septembre 2016.
En effet depuis la publication du code source, une foule de malwares ont repris et amélioré le code source de l’originel afin de le décliner dans de nouvelles attaques.

 

La proportion de malware IoT réutilisant le code de Mirai a largement évolué au cours des deux dernières années selon Fortiner

Le standard des malware IoT

« En 2018, on estime qu’environ 49 % des botnets visant l’IoT réutilisent tout ou partie du code de Mirai », expliquait ainsi lors de la Botconf le chercheur de Fortinet Rommel Joven. Ce vendredi en effet, deux équipes de chercheurs présentaient les résultats de leurs recherches sur les variantes de mirai : une équipe de Fortinet et une équipe de la société de sécurité chinoise Qihoo 360.

La classification de ces nombreuses variantes n’est d’ailleurs pas une tâche aisée : c’était notamment l’objet de la présentation des chercheurs de Qihoo360, qui étaient venus présenter une méthode de classification des variantes via l’analyse des samples. Dans un article, ils détaillent les méthodes qu’ils ont employées pour parvenir à trier et classer les centaines de programmes malveillants reprenant tout ou partie du code source de ce malware.

Les approches des deux équipes portent sur donc sur l’héritage de ce malware et sur la façon dont le code source de celui-ci est aujourd’hui réexploité et amélioré par les cybercriminels pour constituer des botnets d’objets connectés.

Mirai n’était pourtant pas le premier malware a avoir eu l’idée de s’attaquer aux objets connectés. Parmi les ancêtres de Mirai, les chercheurs de Fortinet citent ainsi Hydra, un malware apparu en 2008 et qui visait principalement des équipements réseau (routeurs, switch et autres modems.) Si Hydra ne vise pas des objets connectés, il profite des mots de passe par défaut souvent laissé en place par les utilisateurs pour infecter les machines et les utiliser afin de mener des attaques DdoS.

Un modus operandi que l’on retrouvera quatre années plus tard chez Mirai, mais qui va également inspirer toute une série de malwares IoT.

On peut ainsi citer Aidra, qui a repris en 2012 la méthode pour s’attaquer cette fois non seulement aux routeurs, mais aussi aux cameras IP, télévisions connectées et autres appareils ARM fonctionnant sous Linux. On peut également citer Bashlite apparu en 2014, qui reprend la même méthode, ou encore l’inattendu Wifatch, un malware qui infecte les machines Linux afin de fermer les ports Telnet laissés ouverts par les utilisateurs et éviter de futures infections.

Arrivée en fanfare

Mirai n’était donc pas vraiment le premier dans son genre. Pourtant l’arrivée de ce malware en 2016 a été particulièrement remarquée : le volume inégalé de trafic que pouvait générer le botnet a fait les gros titres, et le code source publié en septembre s’est peu à peu imposé comme le « standard » des malwares IoT. Pourquoi Mirai plutôt qu’un autre ? « Mirai a amélioré largement les techniques utilisées par les autres malwares du même genre. Il disposait par exemple d’un mécanisme de propagation extrêmement rapide qui le distingue du reste. » Comme le glisse un autre chercheur présent à la conférence, « moi aussi si je devais copier un malware IoT, je copierai Mirai. »

 

Et c’est bien ce qu’ont fait les cybercriminels : comme le montraient les chercheurs de Fortinet, si les réutilisations du code de Mirai étaient encore timides en 2016, celles-ci ont explosé depuis. La plupart des « descendants » directs de Mirai ne se contentent pas de copier-coller bêtement le code de l’original, mais ils n’hésitent pas à en reprendre une plus en moins grande partie. Sur scène, Rommel Joven de Fortinet cite ainsi l’exemple du malware IoT Reaper, qui réutilise l’essentiel du code source de Mirai.

En se penchant sur le détail de ces différents malwares, les chercheurs sont parvenus à identifier quelles fonctionnalités étaient directement récupérées de Mirai : la liste d’identifiant/mots de passe est ainsi fréquemment reprise, tout comme le module de scan qui permet à Mirai de scanner Internet à la recherche de nouvelles cibles vulnérables. On peut ainsi retrouver des parties du code source de Mirai dans les malwares NewAidra (Decouvert en octobre 2016), Persirai (Mai 2017) ou encore au sein de Bashlite, dont les dernières versions ont intégré plusieurs modules et identifiants directement tirés de Mirai.

Mais les cybercriminels ne se contentent pas de « decalquer » le code source de Mirai et les nouvelles versions apportent également leur lot d’innovations. Si la recette reste toujours la même, Rommel Joven montrait ainsi que les concepteurs de logiciels malveillants n’hésitaient pas à améliorer la formule.

Un avenir radieux

On a ainsi pu voir des malwares qui préféraient abandonner la méthode d’infection classique reposant sur des identifiants/mots de passe par défaut pour préférer utiliser des « exploits » qui profitent de vulnerabilités découvertes dans un programme. « On constate que les créateurs de malware n’ont pas hésité à améliorer les méthodes d’infections utilisées par Mirai. Sur 40 exploits intégrés au sein de variantes de Mirai, on a découvert deux failles 0day ainsi qu’une vingtaine d’exploits qui ne nécessitaient aucune authentification pour fonctionner » poursuit le chercheur.

 

Une frise chronologique qui présente l’évolution des malwares réutilisant le code de Mirai : en orange, les principaux malwares identifiés par Fortinet et en bleu les principales améliorations apportées au code source original. 

Mirai se distinguait déjà par le nombre important d’identifiants qu’il utilisait pour infecter des machines (la liste en contenait 77, contre une dizaine pour un de ses prédécesseurs comme Bashlite), mais l’ajout d’exploits vient renforcer le potentiel de ces malwares IoT, qui ciblent généralement des objets connectés dont la sécurité n’est pas forcement prise au sérieux par leurs possesseurs. Il est donc tout à fait envisageable d’utiliser des failles de sécurité déjà corrigées par l’éditeur, en pariant sur le fait que les utilisateurs n’auront pas mis à jour leurs appareils.

« Les nouvelles variantes de Mirai intègrent aussi des outils visant à compliquer leurs analyses par les chercheurs et on voit des nouvelles versions apparaître régulièrement, et qui intègrent les exploits recense afin de profiter des failles nouvellement découvertes » explique Rommel Joven.

Outre les mécanismes d’infections et les contre-mesures, les créateurs de malware expérimentent aussi avec de nouvelles utilisations pour les machines infectées. « Traditionellement, les botnets dérivés de Mirai étaient utilisés pour des attaques DdoS. Mais au cours des dernières années, on a vu les créateurs expérimenter avec des nouvelles méthodes de monétisation de leurs botnets » explique le chercheur de Fortinet.

On peut ainsi citer OMG, un malware dérivé de Mirai qui vise le même type d’appareils afin de les utiliser comme des proxys, afin de dissimuler l’origine d’une attaque informatique ou de son trafic internet. On voit également d’autres tentatives plus audacieuses, comme celle d’ADB.miner, un malware visant des systèmes Android afin de leur faire miner des cryptomonnaies à l’insu de leurs utilisateurs

« Dans ce dernier cas, on imagine que le résultat n’est pas vraiment à la hauteur vu la faible puissance de calcul des machines », explique Rommel Joven. Pour l’instant, le fonctionnement de Mirai et de ses rejetons favorise les attaques DdoS, mais les créateurs de malware ne se privent pas d’expérimenter afin de trouver de nouveaux débouchés pour leurs réseaux de machines infectées.

Source

Nous utilisons des cookies pour personnaliser le contenu et les publicités, pour fournir des fonctionnalités de médias sociaux et pour analyser notre trafic. Nous partageons également des informations sur votre utilisation de notre site avec nos partenaires de médias sociaux, de publicité et d'analyse qui peuvent les combiner avec d'autres informations que vous leur avez fournies ou qu'ils ont collectées lors de votre utilisation de leurs services. Vous consentez à nos cookies si vous continuez à utiliser notre site Web.
Cookies settings
Accepter
Privacy & Cookie policy
Privacy & Cookies policy
Cookie name Active

Qui sommes-nous ?

L’adresse de notre site Web est : https://www.banquegratuite.com

Cookies publicitaires Google

Nous utilisons des cookies pour faciliter la diffusion des annonces sur les sites Web de nos partenaires, tels que ceux diffusant des annonces Google ou membres d'un réseau publicitaire agréé par Google. Lorsqu'un utilisateur visite ce type de site, un cookie peut être placé dans son navigateur. Les fournisseurs tiers, y compris Google, utilisent des cookies pour diffuser des annonces en fonction des visites antérieures des internautes sur votre site Web ou sur d'autres pages. Grâce aux cookies publicitaires, Google et ses partenaires adaptent les annonces diffusées auprès de vos visiteurs en fonction de leur navigation sur vos sites et/ou d'autres sites Web. Cliquez ici pour savoir comment Google utilise les informations fournies par les cookies

Utilisation des données personnelles collectées

Commentaires

Quand vous laissez un commentaire sur notre site web, les données inscrites dans le formulaire de commentaire, mais aussi votre adresse IP et l’agent utilisateur de votre navigateur sont collectés pour nous aider à la détection des commentaires indésirables. Une chaîne anonymisée créée à partir de votre adresse de messagerie (également appelée hash) peut être envoyée au service Gravatar pour vérifier si vous utilisez ce dernier. Les clauses de confidentialité du service Gravatar sont disponibles ici : https://automattic.com/privacy/. Après validation de votre commentaire, votre photo de profil sera visible publiquement à coté de votre commentaire.

Médias

Si vous êtes un utilisateur ou une utilisatrice enregistré·e et que vous téléversez des images sur le site web, nous vous conseillons d’éviter de téléverser des images contenant des données EXIF de coordonnées GPS. Les visiteurs de votre site web peuvent télécharger et extraire des données de localisation depuis ces images.

Formulaires de contact

Cookies

Si vous déposez un commentaire sur notre site, il vous sera proposé d’enregistrer votre nom, adresse de messagerie et site web dans des cookies. C’est uniquement pour votre confort afin de ne pas avoir à saisir ces informations si vous déposez un autre commentaire plus tard. Ces cookies expirent au bout d’un an. Si vous avez un compte et que vous vous connectez sur ce site, un cookie temporaire sera créé afin de déterminer si votre navigateur accepte les cookies. Il ne contient pas de données personnelles et sera supprimé automatiquement à la fermeture de votre navigateur. Lorsque vous vous connecterez, nous mettrons en place un certain nombre de cookies pour enregistrer vos informations de connexion et vos préférences d’écran. La durée de vie d’un cookie de connexion est de deux jours, celle d’un cookie d’option d’écran est d’un an. Si vous cochez « Se souvenir de moi », votre cookie de connexion sera conservé pendant deux semaines. Si vous vous déconnectez de votre compte, le cookie de connexion sera effacé. En modifiant ou en publiant une publication, un cookie supplémentaire sera enregistré dans votre navigateur. Ce cookie ne comprend aucune donnée personnelle. Il indique simplement l’ID de la publication que vous venez de modifier. Il expire au bout d’un jour.

Contenu embarqué depuis d’autres sites

Les articles de ce site peuvent inclure des contenus intégrés (par exemple des vidéos, images, articles…). Le contenu intégré depuis d’autres sites se comporte de la même manière que si le visiteur se rendait sur cet autre site. Ces sites web pourraient collecter des données sur vous, utiliser des cookies, embarquer des outils de suivis tiers, suivre vos interactions avec ces contenus embarqués si vous disposez d’un compte connecté sur leur site web.

Statistiques et mesures d’audience

Utilisation et transmission de vos données personnelles

Durées de stockage de vos données

Si vous laissez un commentaire, le commentaire et ses métadonnées sont conservés indéfiniment. Cela permet de reconnaître et approuver automatiquement les commentaires suivants au lieu de les laisser dans la file de modération. Pour les utilisateurs et utilisatrices qui s’enregistrent sur notre site (si cela est possible), nous stockons également les données personnelles indiquées dans leur profil. Tous les utilisateurs et utilisatrices peuvent voir, modifier ou supprimer leurs informations personnelles à tout moment (à l’exception de leur nom d’utilisateur·ice). Les gestionnaires du site peuvent aussi voir et modifier ces informations.

Les droits que vous avez sur vos données

Si vous avez un compte ou si vous avez laissé des commentaires sur le site, vous pouvez demander à recevoir un fichier contenant toutes les données personnelles que nous possédons à votre sujet, incluant celles que vous nous avez fournies. Vous pouvez également demander la suppression des données personnelles vous concernant. Cela ne prend pas en compte les données stockées à des fins administratives, légales ou pour des raisons de sécurité.

Transmission de vos données personnelles

Les commentaires des visiteurs peuvent être vérifiés à l’aide d’un service automatisé de détection des commentaires indésirables.

Save settings
Cookies settings