DDoS através de dispositivos IoT - Nova geração de ataques
Criada por: Frederico Madeira, última modificação em: Tue 15 of Nov, 2016 (20:04 UTC)
Um dos maiores desafios quando falamos em proteção de redes são os ataques de DoS (Denial of Service) ou ataque de negação de serviço. Conforme encontramos no Wikipedia (1), este é um tipo de ataque que tem como objetivo deixar inoperante ou indisponível de forma temporária ou indefinidamente um serviço, uma aplicação, um host ou até mesmo uma rede inteira. Esse tipo de ataque é normalmente realizado através de técnicas de flooding que são direcionadas ao host ou recurso que se deseja atacar de forma que sobrecarregue este com requisições, desta forma, as requisições legitimas não conseguirão ser atendidas ou serão descartadas pelo host ou serviço que está sendo atacado, deixando este, inoperante para seus usuários válidos.
Com o aumento da capacidades de processamento, conexões de rede e técnicas de proteção, estes ataques evoluíram para um modelo distribuído. Ataques provenientes de um único endereço IP deixam de ocorrer e evoluíram, passando a contar com diversos, centenas ou milhares de endereços IP's distintos, somando a capacidade computacional e conexão da internet de cada um, para executar os ataques. Um dos maiores ataque distribuído já registrado, alcançou a marca de 1Tb/s, realizado a partir de 150.000 hosts(2)
O ataque distribuído pode ainda ser amplificado/refletido, aumentando mais ainda o poder do ataque. Esse tipo de ataque é chamado de DRDoS, ataque de negação de serviço distribuído e amplificado/refletido. Essa ataque usa pacotes UDP pois neste caso os dispositivos não validam o IP de origem, o atacante gera pacotes com o IP de origem da vítima (spoofed) ai estes dispositivos de rede respondem direto para o vitima, concretizando o ataque(3).
O Próximo Nível de Ataques
Recentemente nas Olimpíadas Rio 2016, foi registrado um enorme ataque a várias organizações associadas as Olimpíadas que se iniciou antes mesmo do inicio dos jogos (4). Em seu auge atingiu a marca de 540 Gb/s.
Este(s) ataque(s) utilizaram como vetor técnicas de UDP reflection/amplification como DNS, chargen, ntp, e SSDP, conjuntamente com UDP packet-flooding, SYN-flooding e ataques de application-layer tendo como alvo os serviços de DNS e WEB(4).
Estes ataques foram realizados por botnets que representam conjuntos de computadores ou dispositivos que foram previamente atacados e comprometidos, sendo esses escravizados a um controlador e através destes são enviados os ataques aos alvos definidos(5).
O que chamou atenção foi que a botnet utilizada, a LizardStresser, é composta por dispositivos IoT mal configurados, ou sem barreiras de proteção. O código dessa botnet é escrito em C e compilado para as plataformas x86, ARM, e MIPS(6).
A LizardStresser tem a capacidade de abrir conexões telnet em endereços IP randômicos utilizando um conjunto pré-definido de usuários e senhas conforme visto abaixo. Uma vez obtendo sucesso, o dispositivo é infectado pelo malware e esse passa a ser membro da botnet. O controlador observa a capacidade de geração de tráfego de cada host, quanto maior for esse valor, mais valioso é esse bot.
Na tabela a seguir, vemos a lista dos usuários e senhas mais comuns em dispositivos IoT (7):
Conforme descrito em (6) os dispositivos IoT são muito interessantes e atrativos para o mercado de DDoS bot em função dos motivos abaixo:
Em um recente ataque ocorrido agora no final de Outubro(8), a botnet Mirai com apenas 100.000 dispositivos geraram 1.1 Tb/s contra um provedor de serviços DNS chamado Dyn. Esse número é apenas uma estimativa, tendo em vista que os dados oficiais não foram liberados pela empresa. Essa botnet também é constituída por dispositivos IoT, em sua maioria são cameras, DVR e roteadores. O processo de infecção da botnet Mirai é semelhante a LizardStresser pois ela escaneia uma lista de endereços IP utilizando combinções padrão de usuários e senhas(10).
Os desafios
Segundo o pesquisa do Gartner(12), ao final de 2016 teremos 6.4 bilhões de dispositivos conectados e em 2020 teremos 20.8 bilhões. Este é um mercado extremamente crescente e pode ser tornar potenciais bots para as botnets discutidas anteriormente.
Observe que nos ataques comentados, falamos de conjuntos em torno de 100.000 e 150.000 dispositivos, "apenas".
A empresa de segurança Corero (9) alertou para um possível novo ataque que pode chegar a dezenas de terabytes por segundo. Em recentes ataques observados a seus clientes, uma nova técnica de amplificação foi utilizada, usando desta vez o protocolo LDAP (Lightweight Directory Access Protocol)(10).
Estes eventos nos levam a necessidade de um maior e mais amplo debate sobre como tornar os dispositivos de IoT mais seguros e menos susceptíveis a subversão a botnets. Seja na implementação de seu software, em melhores formas de configuração,na criação de barreiras de proteção na infra-estruturar de rede para esses dispositivos e principalmente como atualizar ou aplicar patches aos dispositivos legados que temos em operação hoje.
Encontramos em (8) algumas recomendações de configuração de dispositivos de IoT de forma a evitar que eles sejam atacados e subvertidos a alguma botnet.
Em uma declaração(11) da empresa Xiongmai desenvolvedora dos DVR's usados no ataque contra a Dyn, confirmou que foi explorada uma vulnerabilidade dos seus produtos relacionada ao uso de senhas fracas e senha padrão. O patch que corrige essa vulnerabilidade foi liberado em setembro de 2015, todos devem atualizar seus dispositivos e trocar a senha padrão.
Referências
(1) Denial-of-service attack
(2) World's largest 1 Tbps DDoS Attack launched from 152,000 hacked Smart Devices
(3) Rossow, Christian (February 2014). "Amplification Hell: Revisiting Network Protocols for DDoS Abuse"
(4) Rio Olympics Take the Gold for 540gb/sec Sustained DDoS Attacks!
(5) Botnet
(6) The Lizard Brain of LizardStresser
(7) IoT-based DDoS attacks on the rise
(8) Friday's Massive DDoS Attack Came from Just 100,000 Hacked IoT Devices
(9) Corero Warns of Powerful New DDoS Attack Vector with Potential for Terabit-Scale DDoS Events
(10) Source Code for IoT botnet responsible for World's largest DDoS Attack released Online
(11) Chinese firm admits its hacked DVRs, cameras were behind Friday's massive DDOS attack
(12) Gartner Says 6.4 Billion Connected "Things" Will Be in Use in 2016, Up 30 Percent From 2015
Com o aumento da capacidades de processamento, conexões de rede e técnicas de proteção, estes ataques evoluíram para um modelo distribuído. Ataques provenientes de um único endereço IP deixam de ocorrer e evoluíram, passando a contar com diversos, centenas ou milhares de endereços IP's distintos, somando a capacidade computacional e conexão da internet de cada um, para executar os ataques. Um dos maiores ataque distribuído já registrado, alcançou a marca de 1Tb/s, realizado a partir de 150.000 hosts(2)
O ataque distribuído pode ainda ser amplificado/refletido, aumentando mais ainda o poder do ataque. Esse tipo de ataque é chamado de DRDoS, ataque de negação de serviço distribuído e amplificado/refletido. Essa ataque usa pacotes UDP pois neste caso os dispositivos não validam o IP de origem, o atacante gera pacotes com o IP de origem da vítima (spoofed) ai estes dispositivos de rede respondem direto para o vitima, concretizando o ataque(3).
O Próximo Nível de Ataques
Recentemente nas Olimpíadas Rio 2016, foi registrado um enorme ataque a várias organizações associadas as Olimpíadas que se iniciou antes mesmo do inicio dos jogos (4). Em seu auge atingiu a marca de 540 Gb/s.
Este(s) ataque(s) utilizaram como vetor técnicas de UDP reflection/amplification como DNS, chargen, ntp, e SSDP, conjuntamente com UDP packet-flooding, SYN-flooding e ataques de application-layer tendo como alvo os serviços de DNS e WEB(4).
Estes ataques foram realizados por botnets que representam conjuntos de computadores ou dispositivos que foram previamente atacados e comprometidos, sendo esses escravizados a um controlador e através destes são enviados os ataques aos alvos definidos(5).
O que chamou atenção foi que a botnet utilizada, a LizardStresser, é composta por dispositivos IoT mal configurados, ou sem barreiras de proteção. O código dessa botnet é escrito em C e compilado para as plataformas x86, ARM, e MIPS(6).
A LizardStresser tem a capacidade de abrir conexões telnet em endereços IP randômicos utilizando um conjunto pré-definido de usuários e senhas conforme visto abaixo. Uma vez obtendo sucesso, o dispositivo é infectado pelo malware e esse passa a ser membro da botnet. O controlador observa a capacidade de geração de tráfego de cada host, quanto maior for esse valor, mais valioso é esse bot.
char *usernames[] = {"root\0", "\0", "admin\0", "user\0", "login\0", "guest\0"};
char *passwords[] = {"root\0", "\0", "toor\0", "admin\0", "user\0", "guest\0",
"login\0", "changeme\0", "1234\0", "12345\0", "123456\0", "default\0",
"pass\0", "password\0"};
char *passwords[] = {"root\0", "\0", "toor\0", "admin\0", "user\0", "guest\0",
"login\0", "changeme\0", "1234\0", "12345\0", "123456\0", "default\0",
"pass\0", "password\0"};
Na tabela a seguir, vemos a lista dos usuários e senhas mais comuns em dispositivos IoT (7):
Conforme descrito em (6) os dispositivos IoT são muito interessantes e atrativos para o mercado de DDoS bot em função dos motivos abaixo:
- Esses dispositivos normalmente rodam versões bem simples e reduzidas do sistema operacional Linux. O Malware pode ser facilmente compilado para rodar nesse SO e na arquitetura do dispositivo a ser atacado, mais comummente ARM/MIPS/x86
- Se eles foram acessíveis via Internet, normalmente terão total acesso a internet sem limitação de banda ou filtros.
- A versão minimalista do sistema operacional e a capacidade de processamento da maioria destes dispositivos IoT, não permitem a implementação de funcionalidades de segurança ou auditoria, passando despercebido pelos seus donos.
- De forma a economizar tempo de desenvolvimento, os fabricantes de dispositivos IoT re-utilizam partes do hardware e software em diferente tipos de dispositivos. A consequência disso é que as senhas padrão são compartilhadas em diversos produtos de diferentes tipos de dispositivo em função do re-uso de partes do software. Observe que neste caso, a cada lançamento de um novo produto, o atacante pode recompilar seu Malware e um grupo totalmente novo de dispositivos vira alvo deste malware, simplesmente pelo fato dele estar usando uma combinação de usuário e senha padrão já conhecido.
Em um recente ataque ocorrido agora no final de Outubro(8), a botnet Mirai com apenas 100.000 dispositivos geraram 1.1 Tb/s contra um provedor de serviços DNS chamado Dyn. Esse número é apenas uma estimativa, tendo em vista que os dados oficiais não foram liberados pela empresa. Essa botnet também é constituída por dispositivos IoT, em sua maioria são cameras, DVR e roteadores. O processo de infecção da botnet Mirai é semelhante a LizardStresser pois ela escaneia uma lista de endereços IP utilizando combinções padrão de usuários e senhas(10).
Os desafios
Segundo o pesquisa do Gartner(12), ao final de 2016 teremos 6.4 bilhões de dispositivos conectados e em 2020 teremos 20.8 bilhões. Este é um mercado extremamente crescente e pode ser tornar potenciais bots para as botnets discutidas anteriormente.
Observe que nos ataques comentados, falamos de conjuntos em torno de 100.000 e 150.000 dispositivos, "apenas".
A empresa de segurança Corero (9) alertou para um possível novo ataque que pode chegar a dezenas de terabytes por segundo. Em recentes ataques observados a seus clientes, uma nova técnica de amplificação foi utilizada, usando desta vez o protocolo LDAP (Lightweight Directory Access Protocol)(10).
Estes eventos nos levam a necessidade de um maior e mais amplo debate sobre como tornar os dispositivos de IoT mais seguros e menos susceptíveis a subversão a botnets. Seja na implementação de seu software, em melhores formas de configuração,na criação de barreiras de proteção na infra-estruturar de rede para esses dispositivos e principalmente como atualizar ou aplicar patches aos dispositivos legados que temos em operação hoje.
Encontramos em (8) algumas recomendações de configuração de dispositivos de IoT de forma a evitar que eles sejam atacados e subvertidos a alguma botnet.
- Modifique a senha padrão do dispositivo IoT. Se seu dispositivo for habilitado a conexão com a internet, os malwares Mirai e LizardStresser realizam varreduras em ranges de IP's buscando por dispositivos vulneráveis a ataques de senha padrão.
- Desabilite o suporte a UPnP (Universal Plug-and-Play): O UPnP vem ativo por padrão em todos os dispositivos IoT, desta forma, ele se comunica com o roteador local criando uma nova politica no mesmo permitindo tráfego da internet para esse dispositivo.
- Desabilite o gerenciamento remoto via Telnet. Os dois malwares que vimos utilizam essa protocolo para conectar, infectar e subverter o dispositivo a botnet.
- Verifica por atualização de softwares ou patches para seu produto. Sempre deixe seus dispositivos conectados a internet atualizados com a última versão de firmware do fabricante.
Em uma declaração(11) da empresa Xiongmai desenvolvedora dos DVR's usados no ataque contra a Dyn, confirmou que foi explorada uma vulnerabilidade dos seus produtos relacionada ao uso de senhas fracas e senha padrão. O patch que corrige essa vulnerabilidade foi liberado em setembro de 2015, todos devem atualizar seus dispositivos e trocar a senha padrão.
Referências
(1) Denial-of-service attack
(2) World's largest 1 Tbps DDoS Attack launched from 152,000 hacked Smart Devices
(3) Rossow, Christian (February 2014). "Amplification Hell: Revisiting Network Protocols for DDoS Abuse"
(4) Rio Olympics Take the Gold for 540gb/sec Sustained DDoS Attacks!
(5) Botnet
(6) The Lizard Brain of LizardStresser
(7) IoT-based DDoS attacks on the rise
(8) Friday's Massive DDoS Attack Came from Just 100,000 Hacked IoT Devices
(9) Corero Warns of Powerful New DDoS Attack Vector with Potential for Terabit-Scale DDoS Events
(10) Source Code for IoT botnet responsible for World's largest DDoS Attack released Online
(11) Chinese firm admits its hacked DVRs, cameras were behind Friday's massive DDOS attack
(12) Gartner Says 6.4 Billion Connected "Things" Will Be in Use in 2016, Up 30 Percent From 2015
Loading…
Comentários