O malware em rápida evolução representa uma ameaça cada vez maior para os usuários de Internet das coisas – e IoT.

No primeiro semestre de 2018, mais de 120.000 modificações em malware atacaram dispositivos da Internet das Coisas (IoT) – o triplo do total em 2017 e mais de 10 vezes em 2016, de acordo com um novo relatório de pesquisadores da Kaspersky Labs.

O relatório mostra que ataques simples e de força bruta contra senhas ainda são as técnicas mais utilizadas para violar a segurança da IoT, perfazendo pelo menos parte de 93% dos ataques vistos. Esses ataques comprometeram uma ampla variedade de dispositivos, que foram usados ​​para mineração de criptografia criptográfica, ataques DDoS, inclusão de dispositivos em ameaças de botnets e muito mais. Enquanto 60% dos dispositivos usados ​​para acessar os honeypots da Kaspersky Labs eram roteadores, DVRs, impressoras – e até 33 máquinas de lavar – estavam na mistura.

Para melhor proteger os dispositivos, os pesquisadores sugeriram manter o firmware atualizado, alterar as senhas pré-instaladas e reinicializar os dispositivos assim que qualquer comportamento incomum for observado.

O interesse dos cibercriminosos em dispositivos de IoT continua a crescer: em H1 2018, recebemos três vezes mais amostras de malware que atacam dispositivos inteligentes do que em todo o 2017. E em 2017 houve dez vezes mais do que em 2016. Isso não é um bom presságio para os próximos anos.

Decidimos estudar quais vetores de ataque são implantados por criminosos cibernéticos para infectar dispositivos inteligentes, quais malwares são carregados no sistema e o que isso significa para proprietários de dispositivos e vítimas de botnets recém-armados.

Um dos mais populares vetores de ataque e infecção contra dispositivos continua a quebrar as senhas do Telnet. No segundo trimestre de 2018, houve três vezes mais ataques contra os nossos honeypots do que todos os outros tipos combinados.

serviço % de ataques
Telnet 75,40%
SSH 11,59%
de outros 13,01%

Quando se trata de baixar malware em dispositivos IoT, a opção preferida dos cibercriminosos é a família Mirai (20,9%).

# malwares baixados % de ataques
1 Backdoor.Linux.Mirai.c 15,97%
2 Trojan-Downloader.Linux.Hajime.a 5,89%
3 Trojan-Downloader.Linux.NyaDrop.b 3,34%
4 Backdoor.Linux.Mirai.b 2,72%
5 Backdoor.Linux.Mirai.ba 1,94%
6 Trojan-Downloader.Shell.Agent.p 0,38%
7 Trojan-Downloader.Shell.Agent.as 0,27%
8 Backdoor.Linux.Mirai.n 0,27%
9 Backdoor.Linux.Gafgyt.ba 0,24%
10 Backdoor.Linux.Gafgyt.af 0,20%

Os 10 principais malwares baixados no dispositivo de IoT infectado após uma falha bem-sucedida na senha do Telnet

E aqui estão os 10 principais países dos quais nossas armadilhas foram atingidas por ataques de senha Telnet:

Como alguns proprietários de dispositivos inteligentes alteram a senha padrão do Telnet para uma mais complexa, e muitos gadgets não suportam esse protocolo, os criminosos cibernéticos estão constantemente à procura de novas formas de infecção. Isso é estimulado pela alta competição entre os criadores de vírus, o que levou os ataques bruteforce de senha a se tornarem menos eficazes: no caso de um crack bem-sucedido, a senha do dispositivo é alterada e o acesso ao Telnet é bloqueado.

Um exemplo do uso de “tecnologia alternativa” é a botnet Reaper, cujos ativos no final de 2017 eram cerca de 2 milhões de dispositivos de IoT. Em vez de forçar as senhas do Telnet, esta botnet explorou vulnerabilidades de software conhecidas:

  • Vulnerabilidades no firmware do roteador D-Link 850L
  • Vulnerabilidades em câmeras IP GoAhead
  • Vulnerabilidades em câmeras CCTV MVPower
  • Vulnerabilidade na Vigilância ReadyNAS da Netgear
  • Vulnerabilidade no NVR da Vacron
  • Vulnerabilidade nos dispositivos DGN da Netgear
  • Vulnerabilidades nos roteadores Linksys E1500 / E2500
  • Vulnerabilidades nos roteadores D-Link DIR-600 e DIR 300 – HW rev B1
  • Vulnerabilidades em dispositivos AVTech

Vantagens desse método de distribuição sobre quebra de senhas:

  • A infecção ocorre muito mais rapidamente
  • É muito mais difícil corrigir uma vulnerabilidade de software do que alterar uma senha ou desabilitar / bloquear o serviço

Embora esse método seja mais difícil de ser implementado, ele foi muito bem aceito por muitos criadores de vírus, e não demorou para que novos Trojans explorando vulnerabilidades conhecidas no software de dispositivos inteligentes começassem a aparecer.

Novos ataques, malware antigo

Para ver quais vulnerabilidades são alvos de malware, analisamos os dados das tentativas de conexão com várias portas em nossas armadilhas. Esta é a imagem que surgiu no segundo trimestre de 2018:

Serviço Porta % de ataques Vetor de ataque Famílias de malware
Telnet 23, 2323 82,26% Bruteforce Mirai, Gafgyt
SSH 22 11,51% Bruteforce Mirai, Gafgyt
Samba 445 2,78% EternalBlue, EternalRed, CVE-2018-7445
tr-069 7547 0,77% RCE na implementação do TR-069 Mirai, Hajime
HTTP 80 0,76% Tenta explorar vulnerabilidades em um servidor da web ou decifrar uma senha do Admin Console
winbox (RouterOS) 8291 0,71% Usado para autenticação do RouterOS (MikroTik) e ataques baseados no WinBox Hajime
Mikrotik http 8080 0,23% RCE no MikroTik RouterOS <6.38.5 Chimay-Red Hajime
MSSQL 1433 0,21% Execução de código arbitrário para determinadas versões (2000, 2005, 2008); alterar a senha do administrador; roubo de dados
GoAhead httpd 81 0,16% RCE em câmeras GoAhead IP Persirai, Gafgyt
Mikrotik http 8081 0,15% Chimay-Red Hajime
Etherium JSON-RPC 8545 0,15% Desvio de autorização (CVE-2017-12113)
RDP 3389 0,12% Bruteforce
XionMai uc-httpd 8000 0,09% Estouro de buffer (CVE-2018-10088) no XionMai uc-httpd 1.0.0 (alguns dispositivos fabricados na China) Satori
MySQL 3306 0,08% Execução de código arbitrário para determinadas versões (2000, 2005, 2008); alterar a senha do administrador; roubo de dados

A grande maioria dos ataques ainda provém do reforço de senhas do Telnet e do SSH. O terceiro mais comum são ataques contra o serviço SMB, que fornece acesso remoto aos arquivos. Ainda não vimos nenhum malware da IoT atacando esse serviço. No entanto, algumas versões contêm vulnerabilidades conhecidas como EternalBlue (Windows) e EternalRed (Linux), que foram usadas, por exemplo, para distribuir o infame Trojan ransomware WannaCry e o Monero cryptocurrency miner EternalMiner .

Aqui está o detalhamento dos dispositivos de IoT infectados que atacaram nossos honeypots no segundo trimestre de 2018:

Dispositivo % de dispositivos infectados
MikroTik 37,23%
TP-Link 9,07%
SonicWall 3,74%
Tecnologia AV 3,17%
Vigor 3,15%
Ubiquiti 2,80%
D-Link 2,49%
Cisco 1,40%
AirTies 1,25%
Cyberoam 1,13%
HikVision 1,11%
ZTE 0,88%
Miele 0,68%
DVR desconhecido 31,91%

Como pode ser visto, os dispositivos MikroTik rodando sob RouterOS estão bem na frente. O motivo parece ser a vulnerabilidade Chimay-Red. O interessante é que nossos atacantes de honeypot incluíram 33 máquinas de lavar louça Miele (0,68% do número total de ataques). Provavelmente, eles foram infectados através da conhecida (desde março de 2017) vulnerabilidade CVE-2017-7240 em PST10 WebServer, que é usado em seu firmware.

Porta 7547

Ataques contra o gerenciamento de dispositivos remotos ( especificação TR-069 ) na porta 7547 são muito comuns. De acordo com a Shodan, existem mais de 40 milhões de dispositivos no mundo com esta porta aberta. E isso apesar da vulnerabilidade que recentemente causou a infecção de um milhão de roteadores da Deutsche Telekom, sem mencionar a ajuda para espalhar as famílias de malware Mirai e Hajime.

Outro tipo de ataque explora a vulnerabilidade Chimay-Red nos roteadores MikroTik rodando sob as versões RouterOS abaixo de 6.38.4. Em março de 2018, desempenhou um papel ativo na distribuição de Hajime.

Câmeras IP

As câmeras IP também estão no radar cibercriminoso. Em março de 2017, várias vulnerabilidades importantes foram detectadas no software dos dispositivos GoAhead e, um mês após a publicação das informações, apareceram novas versões dos Trojans Gafgyt e Persirai que exploram essas vulnerabilidades. Apenas uma semana após esses programas maliciosos terem sido distribuídos ativamente, o número de dispositivos infectados subiu para 57.000.

Em 8 de junho de 2018, uma prova de conceito foi publicada para a vulnerabilidade CVE-2018-10088 no servidor da web XionMai uc-httpd, usada em alguns dispositivos inteligentes fabricados na China (por exemplo, KKMoon DVRs). No dia seguinte, o número de tentativas registradas de localizar dispositivos usando esse servidor da Web mais do que triplicou. O culpado por esse pico de atividade foi o Satori Trojan, conhecido por atacar anteriormente os roteadores GPON .

Novo malware e ameaças aos usuários finais

Ataques DDoS

Como antes, o objetivo principal da implantação de malwares IoT é perpetrar ataques DDoS. Dispositivos inteligentes infectados tornam-se parte de uma botnet que ataca um endereço específico no comando, privando o host da capacidade de lidar corretamente com solicitações de usuários reais. Tais ataques ainda são implantados por Trojans da família Mirai e seus clones, em particular, Hajime.

Este é talvez o cenário menos prejudicial para o usuário final. A pior coisa (e muito improvável) que pode acontecer com o proprietário do dispositivo infectado está sendo bloqueada por seu ISP. E o dispositivo pode ser “curado” com uma simples reinicialização.

Mineração de Criptomoeda

Outro tipo de carga está vinculado a criptomoedas. Por exemplo, o malware IoT pode instalar um minerador em um dispositivo infectado. Mas, dado o baixo poder de processamento dos dispositivos inteligentes, a viabilidade de tais ataques permanece em dúvida, mesmo apesar de seu número potencialmente grande.

Um método mais desonesto e viável de conseguir algumas criptopneínas foi inventado pelos criadores do Trojan Satori. Aqui, o dispositivo IoT da vítima atua como um tipo de chave que abre o acesso a um PC de alto desempenho:

  • No primeiro estágio, os invasores tentam infectar o maior número possível de roteadores usando vulnerabilidades conhecidas, em particular:
    • CVE-2014-8361 – RCE no serviço SOAP miniigd no Realtek SDK
    • CVE 2017-17215 – RCE no firmware dos roteadores Huawei HG532
    • CVE-2018-10561 , CVE-2018-10562 – bypass de autorização e execução de comandos arbitrários em roteadores GPON Dasan
    • CVE-2018-10088 – estouro de buffer em XiongMai uc-httpd 1.0.0 usado no firmware de alguns roteadores e outros dispositivos inteligentes feitos por alguns fabricantes chineses
  • Usando roteadores comprometidos e a vulnerabilidade CVE-2018-1000049 na ferramenta de gerenciamento remoto do minerador Claymore Etherium, eles substituem o endereço da carteira por conta própria.

Roubo de dados

O Trojan VPNFilter , detectado em maio de 2018, persegue outros objetivos, sobretudo interceptando o tráfego de dispositivos infectados, extraindo dados importantes (nomes de usuário, senhas, etc.) e enviando-os ao servidor dos cibercriminosos. Aqui estão as principais características do VPNFilter:

  • Arquitetura modular. Os criadores de malware podem adequar-se a novas funções em tempo real. Por exemplo, no início de junho de 2018, foi detectado um novo módulo capaz de injetar código javascript em páginas da web interceptadas.
  • Reinicialize resistente. O Trojan se grava no agendador de trabalho crontab padrão do Linux e também pode modificar as configurações na memória não volátil (NVRAM) do dispositivo.
  • Usa TOR para comunicação com C & C.
  • Capaz de se autodestruir e desabilitar o dispositivo. Ao receber o comando, o Trojan se exclui, substitui a parte crítica do firmware por dados ilegíveis e reinicia o dispositivo.

O método de distribuição do Trojan ainda é desconhecido: seu código não contém mecanismos de autopropagação. No entanto, estamos inclinados a acreditar que ele explora vulnerabilidades conhecidas no software do dispositivo para fins de infecção.

O primeiro relatório VPNFilter falou de cerca de 500.000 dispositivos infectados. Desde então, apareceram ainda mais, e a lista de fabricantes de gadgets vulneráveis ​​expandiu-se consideravelmente. Em meados de junho, incluía as seguintes marcas:

  • ASUS
  • D-Link
  • Huawei
  • Linksys
  • MikroTik
  • Netgear
  • QNAP
  • TP-Link
  • Ubiquiti
  • Upvel
  • ZTE

A situação é agravada pelo fato de que os dispositivos desses fabricantes são usados ​​não apenas em redes corporativas, mas também como roteadores domésticos.

 

Fonte: Dark Reading