Les chercheurs de Radware ont découvert qu’une variante de Mirai en développement depuis février 2021 continuait d’évoluer, la rendant plus performante et dangereuse que jamais.
En août 2021, Radware a signalé qu’une campagne de variantes de Mirai connue sous le nom de Dark.IoT avait commencé à exploiter une vulnérabilité, CVE-2021-35395, dans le SDK de Realtek quelques jours seulement après sa divulgation. Les chercheurs ont nommé le botnet Dark.IoT, basé sur l’utilisation de « Dark.[architecture] » pour ses binaires de logiciels malveillants et l’utilisation récurrente de variations « lmaoiot » tout au long de la dénomination de son infrastructure.
Plus récemment, Radware a découvert que les opérateurs de Dark.IoT étendaient leur portée, tirant parti de deux nouveaux exploits.
Exploit n°1 :
L’exploit OMIGOD permet à Dark.IoT d’aller au-delà des appareils IoT avec des ressources limitées vers des serveurs Linux plus performants hébergés dans le Cloud. Les acteurs malveillants ciblant les instances de cloud Linux les exploiteraient généralement pour des opérations d’extraction de crypto. La campagne Dark.IoT, cependant, vise exclusivement à tirer parti des instances infectées pour les attaques DDoS et a commencé quelques heures seulement après la publication de la preuve de concept.
Exploit n°2 :
Dark.IoT étend ses capacités non seulement avec OMIGOD, qui a été ajouté quelques heures après la publication de sa preuve de concept sur GitHub, mais aussi avec un exploit publié moins récemment. Cet exploit est basé sur une vulnérabilité de la chaîne d’approvisionnement qui affecte une douzaine de fabricants de caméras IP utilisant le firmware d’UDP Technology.
Ces nouveaux exploits sont préoccupants car les opérateurs à l’origine des campagnes Dark.IoT continuent d’évoluer et d’étendre leurs capacités et leurs ressources de botnet en incorporant de nouveaux exploits dans leur arsenal. En conséquence, les opérateurs deviennent une menace plus importante pour effectuer des attaques DDoS plus nombreuses et plus importantes.
Les détails
Vulnérabilité OMIGOD
Le 14 septembre 2021, l’équipe de recherche Wiz a révélé une série de vulnérabilités critiques affectant l’agent Azure Open Management Infrastructure (OMI). L’agent OMI est déployé automatiquement dans les instances Linux lorsque les clients Azure activent certains services Azure, à leur insu. Wiz a nommé le quatuor des zero-days « OMIGOD ». Ils ont estimé de manière prudente que des milliers de clients Azure et des millions de points de terminaison pourraient être affectés. Dans le petit échantillon de locataires Azure qu’ils ont analysé, plus de 65 % étaient à risque sans le savoir.
Microsoft a publié des CVE pour OMIGOD et a mis un correctif à la disposition des clients lors de sa publication du mardi du correctif de septembre 2021. Il a mis à jour son avis le 18 septembre, annonçant une mise à jour automatique de ses offres de services PaaS qui utilisent des extensions de VM vulnérables d’ici le 22 septembre 2021. Microsoft a également précisé quelles instances nécessiteraient toujours un correctif manuel.
Le blog de l’équipe de recherche Wiz comprend toutes les informations nécessaires pour armer la vulnérabilité. La première preuve de concept basée sur Python a été publiée sur GitHub le 15 septembre 2021.
Les opérateurs à l’origine du botnet Dark.IoT ont démontré leur capacité à exploiter et à tester rapidement les vulnérabilités récemment révélées. Dans certains cas, les opérateurs ont pu intégrer des exploits dans les heures suivant la publication. Avec les mises à jour les plus récentes des botnets Dark.IoT, le réseau de déception de Radware a enregistré des exploits OMIGOD portant la signature Dark.IoT (« User-Agent » Header « Dark ») à partir du 15 septembre 2021, quelques heures seulement après la publication du blog de Wiz. .
Vulnérabilité de la technologie UDP
Le 8 juillet 2021, des chercheurs de RandoriSec ont révélé douze vulnérabilités de la chaîne d’approvisionnement dans le micrologiciel de la technologie UDP. Parce que la technologie UDP a refusé de répondre aux chercheurs, RandoriSec a travaillé avec Geutebrück, l’un des douzaines de fabricants de caméras IP qui utilisent le micrologiciel vulnérable, pour corriger 11 vulnérabilités d’exécution de code à distance authentifiées et un contournement d’authentification.
Contrairement aux exploits précédents, CVE-2021-33544 n’a pas été rapidement exploité par les opérateurs. La vulnérabilité a été publiée en juillet et un module Metasploit a été publié le 2 septembre 2021. Alors qu’il s’est écoulé deux semaines entre le moment de la publication du module et le premier événement observé dans le réseau de déception de Radware, les opérateurs ont poursuivi leur séquence en tirant parti d’un autre vulnérabilité à fort impact. CVE-2021-33544 est une fois de plus une autre vulnérabilité de la chaîne d’approvisionnement qui affecte plusieurs fabricants.
Mises à jour du botnet Dark.IoT
Au cours des derniers mois, des binaires pour une architecture spécifique sur l’un des chargeurs Dark.IoT, 212.192.241[.]72, ont été mis à jour près d’une centaine de fois.
L’une des mises à jour les plus notables consiste en un script shell de compte-gouttes mis à jour. Les opérateurs derrière Dark.IoT avaient un grand script shell, « lolol.sh ». Le script contenait quelques fonctionnalités notables telles qu’une séquence « killall » conçue pour purger les logiciels malveillants concurrents, une tentative infructueuse de planification d’une tâche cron pour maintenir la persistance et des règles de pare-feu pour bloquer le trafic entrant sur les ports connus exploités par les logiciels malveillants IoT pour empêcher les logiciels malveillants concurrents. de reprendre la ressource fraîchement acquise.
Dans les mises à jour récentes, les opérateurs ont supprimé la plupart des fonctionnalités précédentes. Le script shell « lolol.sh » ne contient plus la séquence « killall », ni ne tente de maintenir la persistance via cron. La routine « killall » était en surbrillance car cette fonction est déjà intégrée à tout logiciel malveillant qui clone à partir de la source Mirai. La tentative de maintien de la persistance a maintenant été déplacée également à l’intérieur du binaire du bot, donnant aux opérateurs plus de flexibilité dans la création de différentes méthodes de compte-gouttes.
L’exploit utilise une commande codée en Base64 dans la balise «
Radware a vérifié dans le code open source de l’agent OMI que le paramètre « b64encoded » avait bien été ajouté au schéma « SCX_OperatingSystem » à un moment donné. Les derniers binaires Dark.IoT incluent également un exploit pour les caméras IP produites par UDP Technologies, qui était sensible à une vulnérabilité d’injection de commande (CVE-2021-33544).
Cinq éléments essentiels de la protection DDoS
Que peuvent faire les organisations pour se protéger contre les nombreuses variantes de Mirai et autres menaces DDoS malveillantes ? Les entreprises doivent mettre en œuvre ces cinq éléments essentiels de la protection DDoS :
- Protection DDoS hybride, y compris la protection DDoS sur site et dans le cloud pour la prévention des attaques DDoS en temps réel qui traite également les attaques à haut volume et protège de la saturation des canalisations
- Détection basée sur le comportement qui permet d’identifier et de bloquer rapidement et avec précision les anomalies tout en autorisant le trafic légitime à passer
- Création de signature en temps réel qui protège rapidement contre les menaces inconnues et les attaques zero-day
- Plan d’intervention d’urgence en matière d’infosécurité et une équipe d’experts d’urgence dédiée ayant une expérience de la sécurité de l’IoT et de la gestion des épidémies de l’IoT
- Renseignements sur les acteurs de menace actifs, y compris des données haute fidélité, corrélées et analysées pour une protection préventive contre les attaquants actifs actuellement connus.
De plus, pour d’autres mesures de protection des réseaux et des applications, les entreprises doivent continuellement auditer et corriger leurs réseaux pour se défendre contre les vulnérabilités et les menaces connues.