Mirai: ботнет Интернета вещей — технический и динамический анализ

Кратко: Mirai — хорошо известное вредоносное ПО для интернета вещей (IoT), впервые обнаруженное в 2016 году и связанное с одними из крупнейших DDoS-атак. Технический и динамический анализы показывают, что современные варианты сохраняют основные возможности ботнета, но добавляют новые методы распространения и управления, что делает угрозу более универсальной и масштабируемой.

Введение

Mirai получил широкую огласку благодаря способности эксплуатировать уязвимые устройства IoT и объединять их в ботнет для проведения распределённых атак типа «Отказ в обслуживании» (DDoS). Несмотря на то что со времени первых случаев прошло несколько лет, вредоносное ПО продолжает эволюционировать: появляются обновлённые варианты бинарников, расширяются каналы связи и добавляются новые команды управления заражёнными устройствами.

Технический профиль

Анализ выявляет типичные для IoT-малвари характеристики:

• 32-разрядный исполняемый файл ELF — стандартный формат для Linux-ориентированных IoT-устройств;
• динамический анализ зафиксировал попытки исходящих TCP-соединений с заражённых устройств на IP 65.222.202.53 с обращением к порту 80 (HTTP);
• этот IP-адрес ассоциируется с подозрительной активностью, указывающей на DDoS-операции и/или попытки эксплойта и функционирование каналов Command & Control (C2).

«Этот IP-адрес был связан с содействием вредоносному поведению и потенциальным операциям Command & Control (C2).»

Показатели компромисса (IOCs) и эволюция вариантов

В отчёте выделяются характерные IOCs, позволяющие отличать старые и новые варианты Mirai:

• старые варианты привязаны к IP-адресам вроде 160.30.44.120, где размещался двоичный файл вредоносного ПО;
• новые варианты используют UPX-сжатие для бинарников, что затрудняет статический анализ и распознавание;
• расширены внешние механизмы получения дополнительной полезной нагрузки: wget, curl, ftpget.

Поведение и управляющие команды

Поведение вредоносного ПО включает не только распространение и сетевые атаки, но и функции прямого управления системами:

• команды для удалённого управления жизненным циклом устройства — остановка, перезагрузка, завершение работы;
• возможность загружать и запускать дополнительные полезные нагрузки через стандартные сетевые утилиты;
• поддержка механизмов связи с C2-инфраструктурой для координации атак и обновления функциональности ботнета.

Удаление и устранение последствий

Для очистки заражённого устройства отчёт рекомендует следующий порядок действий:

1. перезагрузка устройства в безопасном режиме с подключением к сети;
2. запуск обновлённого антивирусного ПО, способного обнаруживать угрозу под названием Backdoor.W32.300821.Linux.Mirai.b.YR;
3. проверка и обновление встроенного ПО (firmware) и паролей на уязвимых устройствах, чтобы исключить повторную компрометацию.

Вывод

Mirai остаётся значимой угрозой для экосистемы IoT: его способность адаптироваться — использование UPX, расширение командного набора и применение стандартных утилит для загрузки дополнительных модулей — делает его более стойким к анализу и защите. Защитить сеть и подключённые устройства можно только комплексно: регулярные обновления, строгие пароли, сегментация сети и использование современных средств обнаружения и удаления угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.