Blog Home Topics: DDoS , IoT , PDoS

Chiacchierando con i bot dell’IoT

ago 01, 2017 Inserito da Radware
Chiacchierando con i bot dell’IoT

Autore : Pascal Geenens, Radware Ltd – @geenensp

Dopo l’attacco di Mirai a Dyn nell’ottobre del 2016 sapevamo di essere di fronte ad un punto di svolta che avrebbe cambiato il panorama degli attacchi DDoS nei mesi o anni a venire. L’Internet of Things (IoT) sarebbe diventato un elemento fondamentale di quel panorama. In seguito all’attacco, il livello di sicurezza dell’IoT si è rivelato inadeguato ed è emerso che le botnet che sfruttano dispositivi IoT come telecamere IP, DVR e router hanno una natura non sofisticata, cosa che ha suscitato l’attenzione di molti ricercatori e reporter nel campo della sicurezza. L’IoT è divenuto terreno fertile per molti nuovi bot e si è lentamente trasformato in un campo di battaglia dove bad bots, white-hat bots e vigilante bots si contendono un numero sempre crescente di dispositivi poco sicuri e dal design povero. 
 
Nel dicembre del 2016 il numero di botnet era in crescita. La loro entità superava le centinaia di migliaia, con un potenziale di quasi 1 milione di bot se il tentativo di recupero da parte di DT non avesse avuto come conseguenza la mancata operatività di 900.000 modem domestici in seguito all’attacco al TR-069. L’IoT è diventata un’arma straordinaria per gli attacchi DDoS, ed è ora che iniziamo a misurare la minaccia e monitorare i nuovi attacchi utilizzati dalle botnet dell’IoT.
 
Data l’aggressività del metodo di data scanning e harvesting utilizzato da Mirai e il gran numero di botnet registrate negli ultimi nove mesi, non dovrebbe volerci molto perché un dispositivo non protetto e non sicuro possa essere attaccato e vittimizzato una volta collegato a internet. A meno che il vostro IP non faccia parte dei range esclusi a codifica fissa nel Mirai originale - come nel caso del Servizio Postale U.S., del Dipartimento di Difesa, della Internet Assigned Numbers Authority (IANA) e dei range IP assegnati a Hewlett-Packard e General Electric - qualunque connessione internet, ovunque si trovi, sia essa domestica o meno, dovrebbe essere a rischio da attacchi regolari da parte di Mirai e affini. A inizio gennaio abbiamo iniziato a sviluppare alcuni sensori per cominciare a capire quale fosse la portata di questo rischio. Siamo dunque partiti da un telnet server molto semplice e sviluppato ad hoc, collegato al port 23 che accettava qualunque combinazione di username e password e inviava una shell o interfaccia a riga di comando al peer remoto. Intercettando le connessioni iniziali abbiamo scoperto che in meno di 10 minuti i bot cercavano di compromettere il nodo fra due connessioni qualunque. Oggi bastano da tre a cinque minuti per due tentativi di compromissione di qualsiasi tipo.
 
Data questa attività regolare, abbiamo deciso di creare un chatterbot (che per comodità abbiamo chiamato honeypot IoT) che instaurasse un dialogo con i bot per far sì che questi rivelassero il loro binario malware. Alcuni bot si aspettano determinate risposte in base ai comandi inviati e scompaiono quando queste non si verificano. Poiché non sono mancati nuovi attacchi, siamo riusciti ad instaurare ripetutamente un dialogo coerente con buona parte dei bot e a mantenerlo fino al momento in cui il peer responsabile dell’attacco mostrava i suoi colori reali e ci indicava la posizione del binario malware, tipicamente rappresentato da un comando wget o ftp/tftp.
 
Come ci si potrebbe aspettare, molte sequenze di comandi dropper sono risultate coerenti e mostravano numerose similitudini, fatta eccezione per alcuni token e sedi di download binario randomizzati. Attraverso la concatenazione e la normalizzazione della sequenza di comandi del bot e il rispettivo hashing, siamo riusciti a creare un’impronta che identifica in modo univoco le famiglie di bot simili.
 
hajime-dropper-command-sequence.png

Figura: Sequenza dei comandi dropper di Hajime
 
Una volta che i bot hanno acquisito la fiducia necessaria per condividere con il nostro honeypot la sede di download del binario malware, abbiamo aggiunto alcune funzionalità per recuperare il binario e scaricarlo nella memoria, così da poter utilizzare degli hash nei contenuti e creare un’impronta malware. Le nuove impronte, sconosciute al honeypot, sono state poi ulteriormente analizzate per mezzo di hash mad5 e sha256 su virustotal.com, e nel caso di un malware nuovo o sconosciuto, questo è stato inviato a virustotal e ci ha consentito di procedere con un’ulteriore analisi. Le impronte dei file sono un ottimo strumento per l’identificazione di bot identici con binari malware che si evolvono nel tempo, ad esempio Hajime. L’impronta della sequenza dei comandi corrisponde a quella di Hajime, mentre le impronte del file binario cambiano nel tempo, cosa che ci consente di individuare le nuove versioni inviate dallo stesso bot. 
 
Le informazioni relative al peer remoto, inclusi i dati geoip, la sequenza originale dei comandi e l’impronta della sequenza dei comandi, così come l’impronta del binario malware, vengono salvate in MondoDB per essere analizzate. Attraverso le query di dati in MondoDB siamo riusciti a rintracciare la storia e l’evoluzione di bot nuovi ed esistenti che stavano cercando di compromettere i nostri honeypot. Nel corso del tempo abbiamo aggiunto supporti per nuovi protocolli e attacchi, ad esempio quello al server TR-064/069 server e al NewNTPServer, gli attacchi HTTP go-ahead RCE e gli attacchi generici SSH, simulando quanto più possibile dispositivi reali per fare in modo che i bot credessero di trovarsi di fronte ad una nuova vittima reale. 
 
tr-064-newntpserver-rce-exploit.png
Figura: Attacco TR-064 NewNTPServer RCE
 
L’ultima aggiunta alla nostra infrastruttura honeypot IoT è un’architettura ELK stack (Elasticsearch, Logstash, Kibana) che ci invia dashboard e insights in tempo reale sull’attività delle botnet IoT nei nostri honeypots.

kibana-dashboard.png
Figura: Dashboard Kibana per uno dei nostri Honeypots

L’uso del modello di un chatterbot per l’honeypot è un metodo di identificazione più solido e sicuro che offre grande flessibilità in termini di fingerprinting e analisi dell’attività. Nessuno dei comandi del bot viene effettivamente eseguito dall’honeypot, soltanto le richieste note e pre-programmate generano risposte pre-programmate. Dato l’elevato numero di tentativi di infezione all’ora, questo modello di design si è mostrato utile nell’analisi e nella raccolta dei rati sulle minacce IoT e sulle botnet. L’honeypot non è paragonabile ai più tradizionali honeypot telnet/SSH in quanto non consente di utilizzare comandi e risposte non previsti o non programmati. Altri honeypot sono dotati della funzionalità effettiva della shell e permettono una maggiore creatività nell’attacco al peer, per questo sono un ottimo metodo per studiare il comportamento del nuovo attacker. L’honeypot IoT non offre la stessa libertà e creatività: seppur in grado di scoprire nuovi tipi di bot e attacchi dropper, richiede del lavoro per la programmazione e la simulazione di nuovi comandi, protocolli e attacchi. Ai fini del nostro studio, l’honeypot ci offre gli strumenti e le statistiche adeguati per comprendere meglio e valutare il panorama dei rischi rappresentato dalle botnet dell’IoT.
 

Radware
© 2008-2017 Radware, Ltd. All rights reserved.