Mirai : un malware Windows lui ouvre les portes des réseaux internes

Mirai : un malware Windows lui ouvre les portes des réseaux internes

Hotbabe.doc

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

14/02/2017
29

Mirai : un malware Windows lui ouvre les portes des réseaux internes

Mirai n’a pas fini de faire des victimes. Le malware voit sa route dégagée par l’apparition d’un troyen pour Windows, qui scanne ensuite le réseau de l’utilisateur pour y détecter des objets connectés sous Linux.

Ce cheval de Troie a pour seule mission de faciliter la mise en place de Mirai. Il a été découvert par la société de sécurité Dr.Web. Nommé sobrement Trojan.Mirai.1, il s’infiltre en prenant une forme a priori anodine (un document Office, un utilitaire…). De là, il va scanner le réseau local de la machine pour y chercher des caméras connectées et autres objets sous Linux, les cibles dont raffole Mirai.

Un cheval de Troie comme relai vers les vraies cibles

Trojan.Mirai.1 se connecte en fait à un serveur C&C (Command and Control) pour recevoir ses instructions ainsi qu’un fichier de configuration contenant une liste d’adresses IP. Le malware va alors tenter de s’y connecter via les ports TCP 22 (SSH), 23 (Telnet), 135, 445, 1433, 3306 et 3389. Si l’une des connexions fonctionne, il analyse le type d’appareil détecté et exécute des commandes contenues elles aussi dans le fichier de configuration.

Si le malware parvient à se connecter à un objet connecté sous Linux via Telnet, il télécharge un fichier binaire contenant Mirai pour l’y installer. Ce dernier comportant ses propres mécanismes de réplication, l’infection peut se poursuivre d’autant plus efficacement. Notez que le troyen dispose lui aussi de telles capacités et va chercher à contaminer d’autres PC sur le même réseau.

Une évolution assez prévisible

Il n’est surprenant de voir apparaître de nouvelles initiatives autour de Mirai. Surtout quand le troyen en question permet d’accéder à des parcs d’objets connectés qui ne sont pas connectés directement à Internet. Il sert alors de passerelle et de relai vers des cibles supplémentaires, qui viendront alimenter les botnets déjà en place.

Rappelons en effet que Mirai est un malware qui s’est fait connaître en créant des parcs de caméras connectées « zombies ». Il table sur la relative absence de sécurité sérieuse sur ces produits, qui ont souvent des mots de passe administrateur inscrits en dur et qui ne sont pas mis à jour. Les concepteurs de Mirai ont donc profité de cette manne, créant ainsi des botnets au pouvoir d’attaque plus que certain, comme l’a prouvé l’exemple de Dyn. Son code source ayant été publié, n'importe qui peut s'en inspirer pour l'améliorer ou l'inclure dans de nouveaux scénarios d'attaque.

Comme nous l’avons déjà signalé à de multiples reprises, Mirai a pu prospérer à cause du manque de considération des constructeurs pour la sécurité et/ou des entreprises qui utilisent ces produits. Tout appareil qui a accès à Internet représente par définition un danger si une faille ou un défaut de sécurité peut y être trouvé. Le client devrait donc toujours faire attention, qu’il soit un particulier ou une entreprise.

29

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un cheval de Troie comme relai vers les vraies cibles

Une évolution assez prévisible

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (29)


Le 14/02/2017 à 13h 39

En gros tout ce qui touche aux IoT est associés à Mirai quoi, même si le code doit déjà être bien loin du 1er.


et du coté des fabricants impactés on a des nouvelles ?


Le 14/02/2017 à 13h 57

La dette technique des objets connecté et en particulier des maisons connectées ne fait que commencer..


Le 14/02/2017 à 13h 59



Un cheval de Troie comme relai vers les vraies cibles





Voilà


Le 14/02/2017 à 14h 05

C’est dingue la négligence autour des objets connectés… C’est certainement pas demain que je m’y mettrai!


Le 14/02/2017 à 14h 15

Effectivement, c’est pas très reluisant comme nouvelle. Mais les objets connectés sont quand même très pratiques. On touche l’obsolescence programmée où les constructeurs mettent sur le marché des tonnes de produits sans avoir de support pour les maj. Un peu comme les smartphones


Le 14/02/2017 à 14h 29







Minoucalinou a écrit :



Mais les objets connectés sont quand même très pratiques.





Mouais… à part les montres “intelligentes” qui peuvent avoir leur utilité pour les grands sportifs ou pour les malades (ce qui est un peut la même chose).

Les autres objets ne sont pas grand chose de plus que des mouchards publicitaires pour te faire acheter encore plus (assistants en tout genre, TV connectées etc..) ou bien servent à procurer un faux sentiment de sécurité (alarmes, caméras, gps pour enfants etc..) ou bien sont carrément là pour l’effet gadget hors de prix (lampes connectées) qui permet de frimer quand on invite du monde à la maison..



Ça peut avoir de l’intérêt pour la surveillance/gestion de ses conso (électricité/eau etc..) mais vu le prix des équipements (+installation)… avant de l’avoir rentabilisé sur ses factures… il y a toutes les chances de devoir en racheter un autre d’ici là (panne, obsolescences, failles).<img data-src=" />



Le 14/02/2017 à 14h 33







Minoucalinou a écrit :



Mais les objets connectés sont quand même très pratiques.





Trop gros passera pas. <img data-src=" />



Le 14/02/2017 à 14h 41







KP2 a écrit :



Voilà





<img data-src=" />



Le 14/02/2017 à 15h 10







KP2 a écrit :



Voilà





Ton propos étant que les firewall ne sont pas efficace, il dit qu’il voit pas le rapport avec un malware tout ce qu’il y a de plus classique (qui a toujours bypassé les FW de base, et se fait rapidement bloqué par ceux évolués et monitorés).









darkbeast a écrit :



et du coté des fabricants impactés on a des nouvelles ?





Ils sont en pleine session de how to secure my linux box for dummies.



maximeK Abonné
Le 14/02/2017 à 15h 14

D’un coté quand tu vois laliste des users/password qu’utilise &nbsp;MIRA sa fait peur….



Les fabricants sont quand même pas sérieux du tout !


Le 14/02/2017 à 15h 14

L’entrée est l’interface chaise-clavier. Rien à voir avec le firewall.








ITWT a écrit :



Ils sont en pleine session de how to secure my linux box for dummies.





ça fait 6 mois j’espère qu’il ont passé la table des matières









maximeK a écrit :



D’un coté quand tu vois laliste des users/password qu’utilise &nbsp;MIRA sa fait peur….



Les fabricants sont quand même pas sérieux du tout !





7ujMko0vizxv est pas mal déjà avec quelques caractères spéciaux en plus dedans









darkbeast a écrit :



ça fait 6 mois j’espère qu’il ont passé la table des matières





Aux dernières nouvelles, ils ont compris que ça renvoit à des pages plus loin dans l’ouvrage.



Le 14/02/2017 à 15h 46







Bejarid a écrit :



Ton propos étant que les firewall ne sont pas efficace, il dit qu’il voit pas le rapport avec un malware tout ce qu’il y a de plus classique (qui a toujours bypassé les FW de base, et se fait rapidement bloqué par ceux évolués et monitorés).







En fait, c’était surtout pour dire à ceux qui me contredisaient dans l’autre article qu’on a ici l’exemple typique de ce que je racontais…

Et au delà de ça, le firewall qui fait office de grande Muraille de Chine (ou de Trump suivant l’époque), même très évolué, ce n’est plus suffisant depuis un certain temps. Le réseau interne et chaque appareil du réseau doit être lui-même sécurisé autant que possible. Et c’est là ou je veux en venir en fait…



Le 14/02/2017 à 15h 56

En fait, un firewall reste efficace pour ce qu’il sait faire : bloquer des flux réseaux de niveau 2 ou 3.

Il faut arrêter de se croire en sécurité sur son LAN car on est derrière un firewall et un NAT.



Aujourd’hui, un LAN est potentiellement aussi transparent pour un attaquant que le WAN pour peu qu’il arrive à y injecter un trojan d’une façon ou d’une autre. Et les façons ne manquent pas…








KP2 a écrit :



En fait, un firewall reste efficace pour ce qu’il sait faire : bloquer des flux réseaux de niveau 2 ou 3.

Il faut arrêter de se croire en sécurité sur son LAN car on est derrière un firewall et un NAT.





Je le formulerais plutôt de la manière suivante : être derrière un firewall et un NAT ne dispense pas de continuer à faire attention à ce que l’on fait. Quand le loup est dans la bergerie, c’est trop tard.



Le 14/02/2017 à 16h 25







Minoucalinou a écrit :



… où les constructeurs mettent sur le marché des tonnes de produits sans avoir de support pour les maj. Un peu comme les smartphones





surtout quand tu constates le nombre et la fréquence des màj des Apps standard Android, chez mettons … LG, (au moins ils assurent la maintenance ! est-ce le cas de tous les autres ? …)



djengo Abonné
Le 14/02/2017 à 16h 35







darkbeast a écrit :



7ujMko0vizxv est pas mal déjà avec quelques caractères spéciaux en plus dedans





Peu importe, un mot de passe par défaut, ça ne devrait pas exister ! (ou du moins exiger obligatoirement la modification lors de la première connexion)









scientifik_u a écrit :



Peu importe, un mot de passe par défaut, ça ne devrait pas exister ! (ou du moins exiger obligatoirement la modification lors de la première connexion)





oui mais bon avec 2 mots de passe différent les gens ralent alors avec un par appareil …..



Le 14/02/2017 à 18h 54



Notez que le troyen dispose lui aussi de telles capacités et …





Troyen = Victime

Cheval de Troie = malware

Grecs = Hackers



#RappelHistorique



<img data-src=" />


djengo Abonné
Le 14/02/2017 à 20h 28







darkbeast a écrit :



oui mais bon avec 2 mots de passe différent les gens ralent alors avec un par appareil …..





On aurait 0 sécurité si il fallait écouter les utilisateurs <img data-src=" />



Cf à l’article de NXI qui cite un fournisseur de solution compta qui avait repassé ses mots de passe en clair car les clients trouvaient cela compliqué d’en générer un nouveau…



Le 14/02/2017 à 20h 54

ouais enfin victimes… c’est eux qui ont commencé quoi ! à tipiaker Hélène comme ça (épouse de Ménélas donc réponse évidente : THIS IS SPARTA ! )


stephane.p Abonné
Le 14/02/2017 à 22h 01

Moi qui réfléchi a installer un peu de domotique, de sondes, etc… tout ce qui communique avec autre chose que MON futur système de gestion est systématiquement rayé de la liste.


Le 14/02/2017 à 23h 00

<img data-src=" /> C’est Hélène qui tombe amoureuse de Paris par la volonté d’Aphrodite, suite au jugement de Paris sur la Pomme de la discorde jetée par Eris.



Pomme de la discorde –&gt; Apple –&gt; Guerre –&gt; <img data-src=" />



Tout s’explique.








scientifik_u a écrit :



On aurait 0 sécurité si il fallait écouter les utilisateurs <img data-src=" />



Cf à l’article de NXI qui cite un fournisseur de solution compta qui avait repassé ses mots de passe en clair car les clients trouvaient cela compliqué d’en générer un nouveau…





le problème c’est que le consommateur moyen c’est lui que fabricant écoute pas le geek qui sait qu’ils doit avoir des mots de passe différents par site et pas des variantes de azerty ou 123456



Le 17/02/2017 à 20h 46



Trojan.Mirai.1 se connecte en fait à un serveur C&C (Command and Control) pour recevoir ses instructions ainsi qu’un fichier de configuration contenant une liste d’adresses IP.





Comment le C&C peut-il connaître les IP des machines du réseau local auquel appartient la machine infectée par le cheval de troie ?