CLUSTER TIC ASTURIAS M45. Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai

Transcripción

1 CLUSTER TIC ASTURIAS M45 Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai

2 QUÉ CUBRIRÁ ESTA CHARLA? Breve descripción de Mirai Dispositivos IOT Análisis del malware Mirai Ataque a Dyn Cómo puedo defenderme? Cómo puedo saber si mi red está infectada? Debate Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 2

3 BREVE DESCRIPCIÓN DE MIRAI La Botnet Miraies una red de dispositivos IOT comprometidos a través del malware Mirai. A finales de 2016 lanzaron varias ataques de DDOS, o Aprox. 600Mbps contra Brian Krebs. o Aprox. 1Tbps contra OVH (proveedor hosting). o Aprox. 1.2Tbps contra Dyn. Estos dispositivos del Internet Of Things son variados, o En su mayoría cámaras. o También DVRs, routers, etc. Cientos de miles de dispositivos. Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 3

4 BREVE DESCRIPCIÓN DE MIRAI El malware Miraino es un malware exclusivode IOT. o Va detrás de cualquier máquina Linux que tenga credenciales por defecto. o De hecho, tan solo contiene una lista de 61 combinaciones user/pass. El código de Mirai ha sido liberado hace unos meses. Echando un vistazo al código publicado, y teniendo en cuenta que realmente no sabemos que diferencias hay entre el código publicado y el ejecutado, si ha sido modificado solo para confundir, etc. o Parece parte de un modelo de DDOS forhire. o Enel Command & Control hay cosascomo You can t launch an attack if you don t have a paid suscription. Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 4

5 BREVE DESCRIPCIÓN DE MIRAI Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 5

6 DISPOSITIVOS IOT La mayoría de dispositivos infectados son cámaras CCTV, aunque también hay routers, DVRs, etc. Las cámaras son el dispositivo más preocupante: CPU potente y gran ancho de banda (subida). Muchos routers tienen habilitados UPNP (Universal Plug & Play) o Permite a los dispositivos reconfigurar el routerpara añadir una regla de forma que el dispositivo sea visible desde internet. Las IPsque originaron el ataque provienen de más de 160 países. Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 6

7 DISPOSITIVOS IOT Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 7

8 DISPOSITIVOS IOT Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 8

9 CÓMO FUNCIONA EL MALWARE MIRAI? El malware funciona como un scanner de IPsque busca puertos abiertos e intenta acceder por telnet usando un ataque de diccionario. El malware se infecta intentando conectarse a la máquina Linux, y si lo consigue, o Mata el servicio telnet, ssh y previene su reinicio. o Eliminaotros malwarespara que no tenga competencia (por ejemplo, QBot). o Se conecta al Command/Control. o Permite a los atacantes lanzar ataques DDOS de distintos tipos. Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 9

10 CÓMO FUNCIONA EL MALWARE MIRAI? Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 10

11 CÓMO FUNCIONA EL MALWARE MIRAI? Diferentes tipos de ataques, o Layer 4 Attacks: Standard SYN Flood, TCP Flood, UDP Flood, etc. o Layer 7 Attacks: HTTP Get Flood & redirects. o Etc. Hasta aquí nada especialmente sofisticado. De hecho, el código es bastante amateur. o No significa malo, simplemente no tiene características de código realizado por profesionales. Sin embargo, la botnet fue capaz de enviar aproximadamente 1.2tbps de tráfico hacia Dyn. o Cómo pudo generar este tráfico? Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 11

12 EL ATAQUE A DYN DYN es una empresa que provee servicios DNS. Entre sus clientes, aproximadamente el 10% del Alexa Top 500. o Netflix, Twitter, Whatsapp, Paypal, CNN, Play Station Network, etc. Los servidoresdns de Dynsufrieronel ataquede la MiraiBotnet. Al denegarseel serviciode resoluciónde nombres, se cortala traducción de dominio a IP. Los servidores DNS están preparados para rebajar la carga, o Cacheo, balanceo de carga, consulta de servidores menos cargados, etc. Sin embargo, algunosservidoresdns sinecesitanconectarsecon los DNS autorizados para distribuir la información al resto. Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 12

13 EL ATAQUE A DYN El fallo comienza a propagarse, borrando las IPs válidas de todos los servidores. Netflix, Twitter, Whatsapp, etc., no están caídos!! Simplemente, nuestroclienteno puedehallarel caminohasta ellos. Dyn posee 18 Datacenters distribuidos por el mundo. Los 18 fueronatacadosa la vez. o Cómo se pudo generar tanto volumen para tumbar todos los servidores? o Básicamente, por la combinación de 2 factores. Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 13

14 EL ATAQUE A DYN Primer factor - Ataques de amplificacíon o Viejos conocidos de la denegación de servicio o Ataques a servidores vulnerables en algún servicio UDP (DNS, NTP, SSDP, etc.). o Las peticiones a protocolos UDP son de usar y tirar. No se comprueba origen ni veracidad. o Se falsifica la IP origen (IP Spoofing) para que estos servidores respondan hacia el servidor objetivo del ataque. o La respuesta es mucho más grande que la petición original (por ejemplo, los servidores DNS pueden generar respuestas mucho más grandes). o Factores de amplificación de K = 10 y hasta K = 20 Si envío una petición de 10Kb, la respuesta va desde 100Kb hasta 200Kb. Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 14

15 EL ATAQUE A DYN Ejemplo de ataque Smurf Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 15

16 EL ATAQUE A DYN Segundo factor Posible 0-day en el protocol CLDAP o LDAP por UDP. o Descubierto por la empresa de seguridad CoreroNetwork Security después del ataque. o Permitiría un factor de amplificación de hasta K = 55. o Al igual que el ataque anterior, La petición lleva la IP del servidor a atacar. Se hace una petición a un servidor con el servicio CLDAP expuesto. La respuesta es hasta 55 veces mayor que la petición. Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 16

17 CÓMO PUEDO DEFENDERME? Estrategia DNS. o Servidores redundantes. Uno de esosservidoresdeberíasercapazde manejarddos. o Contratación de escudos Anti-DDOS (ARBOR). Red Previa proporcionada por el ISP que vaya eliminando las peticiones. Estrategia DDOS. Estrategia UPNP (Kill it!!). Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 17

18 CÓMO PUEDO SABER SI HAY UN DISPOSITIVO INFECTADO EN MI RED? Revisa tu red en busca de posibles dispositivos expuestos o o Revisión tanto interna como externa (revisión firewall). Qué hacer en caso de descubrirlo? o Cambiar las credenciales de acceso. o Deshabilitar conexiones remotas innecesarias. o Reiniciar el dispositivo. o Volver a realizar el scanpara confirmar que no se puede acceder. Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 18

19 DEBATE Pueden hacer algo los gobiernos para evitar este tipo de botnet? o La respuesta es complicada. o Veamos el origen del ataque, Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 19

20 DEBATE Pueden hacer algo los gobiernos para evitar este tipo de botnet? o Como hemos visto, el ataque es totalmente descentralizado. o Además, el mercado es un cajón desastre, donde las regulaciones se ignoran. o Muchos dispositivos necesitan acceso remoto. Dyn se arreglo a si mismo, sin ayuda del gobierno. Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 20

21 MODELADO DE AMENAZAS IOT Cómo debería protegerse un dispositivo para el Internet Of Things? o Nada expuesto por defecto. o UPNP desactivado por defecto. o Credenciales autogeneradas aleatoriamente para cada dispositivo. o Servicios de seguridad adicionales dados por el proveedor. Segundo factor de autenticación. Etc. Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 21

22 COMENTARIOS Y PREGUNTAS Alguien está aprendiendo cómo tumbar Internet: Explicando el ataque a Dyn y la botnet Mirai 22