Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Mirai : un malware Windows lui ouvre les portes des réseaux internes

Hotbabe.doc

Mirai : un malware Windows lui ouvre les portes des réseaux internes

Le 14 février 2017 à 13h30

Mirai n’a pas fini de faire des victimes. Le malware voit sa route dégagée par l’apparition d’un troyen pour Windows, qui scanne ensuite le réseau de l’utilisateur pour y détecter des objets connectés sous Linux.

Ce cheval de Troie a pour seule mission de faciliter la mise en place de Mirai. Il a été découvert par la société de sécurité Dr.Web. Nommé sobrement Trojan.Mirai.1, il s’infiltre en prenant une forme a priori anodine (un document Office, un utilitaire…). De là, il va scanner le réseau local de la machine pour y chercher des caméras connectées et autres objets sous Linux, les cibles dont raffole Mirai.

Un cheval de Troie comme relai vers les vraies cibles

Trojan.Mirai.1 se connecte en fait à un serveur C&C (Command and Control) pour recevoir ses instructions ainsi qu’un fichier de configuration contenant une liste d’adresses IP. Le malware va alors tenter de s’y connecter via les ports TCP 22 (SSH), 23 (Telnet), 135, 445, 1433, 3306 et 3389. Si l’une des connexions fonctionne, il analyse le type d’appareil détecté et exécute des commandes contenues elles aussi dans le fichier de configuration.

Si le malware parvient à se connecter à un objet connecté sous Linux via Telnet, il télécharge un fichier binaire contenant Mirai pour l’y installer. Ce dernier comportant ses propres mécanismes de réplication, l’infection peut se poursuivre d’autant plus efficacement. Notez que le troyen dispose lui aussi de telles capacités et va chercher à contaminer d’autres PC sur le même réseau.

Une évolution assez prévisible

Il n’est surprenant de voir apparaître de nouvelles initiatives autour de Mirai. Surtout quand le troyen en question permet d’accéder à des parcs d’objets connectés qui ne sont pas connectés directement à Internet. Il sert alors de passerelle et de relai vers des cibles supplémentaires, qui viendront alimenter les botnets déjà en place.

Rappelons en effet que Mirai est un malware qui s’est fait connaître en créant des parcs de caméras connectées « zombies ». Il table sur la relative absence de sécurité sérieuse sur ces produits, qui ont souvent des mots de passe administrateur inscrits en dur et qui ne sont pas mis à jour. Les concepteurs de Mirai ont donc profité de cette manne, créant ainsi des botnets au pouvoir d’attaque plus que certain, comme l’a prouvé l’exemple de Dyn. Son code source ayant été publié, n'importe qui peut s'en inspirer pour l'améliorer ou l'inclure dans de nouveaux scénarios d'attaque.

Comme nous l’avons déjà signalé à de multiples reprises, Mirai a pu prospérer à cause du manque de considération des constructeurs pour la sécurité et/ou des entreprises qui utilisent ces produits. Tout appareil qui a accès à Internet représente par définition un danger si une faille ou un défaut de sécurité peut y être trouvé. Le client devrait donc toujours faire attention, qu’il soit un particulier ou une entreprise.

Commentaires (29)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







maximeK a écrit :



D’un coté quand tu vois laliste des users/password qu’utilise  MIRA sa fait peur….



Les fabricants sont quand même pas sérieux du tout !





7ujMko0vizxv est pas mal déjà avec quelques caractères spéciaux en plus dedans


votre avatar







darkbeast a écrit :



ça fait 6 mois j’espère qu’il ont passé la table des matières





Aux dernières nouvelles, ils ont compris que ça renvoit à des pages plus loin dans l’ouvrage.


votre avatar







Bejarid a écrit :



Ton propos étant que les firewall ne sont pas efficace, il dit qu’il voit pas le rapport avec un malware tout ce qu’il y a de plus classique (qui a toujours bypassé les FW de base, et se fait rapidement bloqué par ceux évolués et monitorés).







En fait, c’était surtout pour dire à ceux qui me contredisaient dans l’autre article qu’on a ici l’exemple typique de ce que je racontais…

Et au delà de ça, le firewall qui fait office de grande Muraille de Chine (ou de Trump suivant l’époque), même très évolué, ce n’est plus suffisant depuis un certain temps. Le réseau interne et chaque appareil du réseau doit être lui-même sécurisé autant que possible. Et c’est là ou je veux en venir en fait…


votre avatar

En fait, un firewall reste efficace pour ce qu’il sait faire : bloquer des flux réseaux de niveau 2 ou 3.

Il faut arrêter de se croire en sécurité sur son LAN car on est derrière un firewall et un NAT.



Aujourd’hui, un LAN est potentiellement aussi transparent pour un attaquant que le WAN pour peu qu’il arrive à y injecter un trojan d’une façon ou d’une autre. Et les façons ne manquent pas…

votre avatar







KP2 a écrit :



En fait, un firewall reste efficace pour ce qu’il sait faire : bloquer des flux réseaux de niveau 2 ou 3.

Il faut arrêter de se croire en sécurité sur son LAN car on est derrière un firewall et un NAT.





Je le formulerais plutôt de la manière suivante : être derrière un firewall et un NAT ne dispense pas de continuer à faire attention à ce que l’on fait. Quand le loup est dans la bergerie, c’est trop tard.


votre avatar







Minoucalinou a écrit :



… où les constructeurs mettent sur le marché des tonnes de produits sans avoir de support pour les maj. Un peu comme les smartphones





surtout quand tu constates le nombre et la fréquence des màj des Apps standard Android, chez mettons … LG, (au moins ils assurent la maintenance ! est-ce le cas de tous les autres ? …)


votre avatar







darkbeast a écrit :



7ujMko0vizxv est pas mal déjà avec quelques caractères spéciaux en plus dedans





Peu importe, un mot de passe par défaut, ça ne devrait pas exister ! (ou du moins exiger obligatoirement la modification lors de la première connexion)


votre avatar







scientifik_u a écrit :



Peu importe, un mot de passe par défaut, ça ne devrait pas exister ! (ou du moins exiger obligatoirement la modification lors de la première connexion)





oui mais bon avec 2 mots de passe différent les gens ralent alors avec un par appareil …..


votre avatar



Notez que le troyen dispose lui aussi de telles capacités et …





Troyen = Victime

Cheval de Troie = malware

Grecs = Hackers



#RappelHistorique



<img data-src=" />

votre avatar







darkbeast a écrit :



oui mais bon avec 2 mots de passe différent les gens ralent alors avec un par appareil …..





On aurait 0 sécurité si il fallait écouter les utilisateurs <img data-src=" />



Cf à l’article de NXI qui cite un fournisseur de solution compta qui avait repassé ses mots de passe en clair car les clients trouvaient cela compliqué d’en générer un nouveau…


votre avatar

ouais enfin victimes… c’est eux qui ont commencé quoi ! à tipiaker Hélène comme ça (épouse de Ménélas donc réponse évidente : THIS IS SPARTA ! )

votre avatar

Moi qui réfléchi a installer un peu de domotique, de sondes, etc… tout ce qui communique avec autre chose que MON futur système de gestion est systématiquement rayé de la liste.

votre avatar

<img data-src=" /> C’est Hélène qui tombe amoureuse de Paris par la volonté d’Aphrodite, suite au jugement de Paris sur la Pomme de la discorde jetée par Eris.



Pomme de la discorde –&gt; Apple –&gt; Guerre –&gt; <img data-src=" />



Tout s’explique.

votre avatar







scientifik_u a écrit :



On aurait 0 sécurité si il fallait écouter les utilisateurs <img data-src=" />



Cf à l’article de NXI qui cite un fournisseur de solution compta qui avait repassé ses mots de passe en clair car les clients trouvaient cela compliqué d’en générer un nouveau…





le problème c’est que le consommateur moyen c’est lui que fabricant écoute pas le geek qui sait qu’ils doit avoir des mots de passe différents par site et pas des variantes de azerty ou 123456


votre avatar



Trojan.Mirai.1 se connecte en fait à un serveur C&C (Command and Control) pour recevoir ses instructions ainsi qu’un fichier de configuration contenant une liste d’adresses IP.





Comment le C&C peut-il connaître les IP des machines du réseau local auquel appartient la machine infectée par le cheval de troie ?

votre avatar

En gros tout ce qui touche aux IoT est associés à Mirai quoi, même si le code doit déjà être bien loin du 1er.

votre avatar

et du coté des fabricants impactés on a des nouvelles ?

votre avatar

La dette technique des objets connecté et en particulier des maisons connectées ne fait que commencer..

votre avatar



Un cheval de Troie comme relai vers les vraies cibles





Voilà

votre avatar

C’est dingue la négligence autour des objets connectés… C’est certainement pas demain que je m’y mettrai!

votre avatar

Effectivement, c’est pas très reluisant comme nouvelle. Mais les objets connectés sont quand même très pratiques. On touche l’obsolescence programmée où les constructeurs mettent sur le marché des tonnes de produits sans avoir de support pour les maj. Un peu comme les smartphones

votre avatar







Minoucalinou a écrit :



Mais les objets connectés sont quand même très pratiques.





Mouais… à part les montres “intelligentes” qui peuvent avoir leur utilité pour les grands sportifs ou pour les malades (ce qui est un peut la même chose).

Les autres objets ne sont pas grand chose de plus que des mouchards publicitaires pour te faire acheter encore plus (assistants en tout genre, TV connectées etc..) ou bien servent à procurer un faux sentiment de sécurité (alarmes, caméras, gps pour enfants etc..) ou bien sont carrément là pour l’effet gadget hors de prix (lampes connectées) qui permet de frimer quand on invite du monde à la maison..



Ça peut avoir de l’intérêt pour la surveillance/gestion de ses conso (électricité/eau etc..) mais vu le prix des équipements (+installation)… avant de l’avoir rentabilisé sur ses factures… il y a toutes les chances de devoir en racheter un autre d’ici là (panne, obsolescences, failles).<img data-src=" />


votre avatar







Minoucalinou a écrit :



Mais les objets connectés sont quand même très pratiques.





Trop gros passera pas. <img data-src=" />


votre avatar







KP2 a écrit :



Voilà





<img data-src=" />


votre avatar







KP2 a écrit :



Voilà





Ton propos étant que les firewall ne sont pas efficace, il dit qu’il voit pas le rapport avec un malware tout ce qu’il y a de plus classique (qui a toujours bypassé les FW de base, et se fait rapidement bloqué par ceux évolués et monitorés).


votre avatar







darkbeast a écrit :



et du coté des fabricants impactés on a des nouvelles ?





Ils sont en pleine session de how to secure my linux box for dummies.


votre avatar

D’un coté quand tu vois laliste des users/password qu’utilise &nbsp;MIRA sa fait peur….



Les fabricants sont quand même pas sérieux du tout !

votre avatar

L’entrée est l’interface chaise-clavier. Rien à voir avec le firewall.

votre avatar







ITWT a écrit :



Ils sont en pleine session de how to secure my linux box for dummies.





ça fait 6 mois j’espère qu’il ont passé la table des matières


Mirai : un malware Windows lui ouvre les portes des réseaux internes

  • Un cheval de Troie comme relai vers les vraies cibles

  • Une évolution assez prévisible

Fermer