Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybersécurité - "Mirai is back" et prend pour cible l’IoT - Unit42 dévoile "Mukashi", une nouvelle variante de Mirai qui cible

mars 2020 par Unit42

L’Unit42, unité de recherches de Palo Alto Networks, dévoile dans sa dernière analyse, une nouvelle variante de Mirai qui vise les dispositifs de stockage connectés.

Cette variante est appelée Mukashi. Le malware utilise des attaques par force brute pour s’infiltrer via différentes combinaisons d’identifiants par défaut afin de se connecter aux produits de stockage en réseau Zyxel. Ceci pour en prendre le contrôle et de les ajouter à un réseau de dispositifs pouvant être utilisés pour conduire des attaques DDoS.

Que faut-il savoir à propos de "Mukashi" ?

Dès que le PoC (proof-of-concept) de la faille CVE-2020-9054 a été rendu public le mois dernier, celle-ci a été rapidement exploitée pour infecter des modèles NAS de chez Zyxel avec une nouvelle variante de Mirai : Mukashi. Mukashi utilise la force brute pour s’infiltrer en utilisant différentes combinaisons d’identifiants par défaut, tout en informant son serveur C2 (command & contrôle) de ses réussites. De nombreux serveurs NAS de Zyxel, si ce n’est tous, utilisant les versions de firmware allant jusqu’à 5.21 sont concernés par cette vulnérabilité. Le message d’alerte de du fabricant est disponible en ligne. Vous pouvez tester si un NAS Zyxel est vulnérable ici.

Cette vulnérabilité est classée critique (c’est-à-dire un score de 9,8 selon le CVSS v3.1) en raison de son incroyable facilité d’exploitation. Il n’est donc pas surprenant de voir les cybercriminels s’emparer de cette vulnérabilité pour semer le chaos dans le domaine de l’IoT (Internet of Things- internet des objets. Elle a été découverte à l’origine par la vente de son code en tant que 0-day, c’est-à-dire avant même que le fabricant ne la déclare. Cette découverte initiale mentionnait également : « l’exploit est désormais utilisé par un groupe de criminels qui cherchent à l’intégrer dans Emotet. »

Une nouvelle variant de Mirai — Mukashi

Mukashi est un bot qui scanne les ports 23 TCP d’hôtes au hasard, qui utilise la force brute pour s’infiltrer en utilisant différentes combinaisons d’identifiants par défaut et qui renvoie ses essais réussis vers un serveur C2. Comme les autres variantes de Mirai, Mukashi peut également recevoir des ordres de son serveur C2 et de lancer des attaques par déni de service.
Une fois exécuté, Mukashi affiche le message «  Protecting your device from further infections.  » sur la console. Le malware change alors le nom de son processus en dvrhelper, suggérant que Mukashi a pu hériter de certaines particularités de son prédécesseur.
Avant d’exécuter son opération, Mukashi se lie au port TCP 23448 pour s’assurer qu’il n’y a qu’une seule instance tournant sur le système infecté. Le malware décode quelques chaînes de caractères à la volée lors de son initialisation. Celles-ci, comme le montre le tableau suivant, contiennent des informations d’identification ainsi que des commandes C2. Contrairement à ses prédécesseurs qui utilisent le chiffrement xor classique, Mukashi utilise une routine de décryptage personnalisée pour chiffrer ces commandes et ces informations d’identification.

Conclusion et préconisation

Il est fortement recommandé de mettre à jour le firmware pour ne pas laisser entrer les attaquants. Les dernières versions du firmware sont disponibles en téléchargement. Mieux vaut utiliser des couples identifiants/mots de passe complexes pour éviter les attaques par la force brute.




Voir les articles précédents

    

Voir les articles suivants