sexta-feira, 2 de agosto de 2019

Mudança de Endereço

Pessoal, estou retornando os assuntos voltados desse blog para o blog original Café com redes, segue o link de acesso:

https://www.cafecomredes.com.br/

Abraços

Mirai está usando rede TOR para anonimato



Fala galera beleza?

Para quem não conhece, Mirai é o principal malware que atinge as redes IoT de todo o mundo, na realidade ele toma controle de equipamentos expostos (DVRs, sensores, camêras pessoais etc) escaneando algumas portas TCP pela internet (9527 e 34567 nessa nova versão) utilizando usuários e senhas padrões dos equipamentos para controlar os mesmos e evitar que possam ser desligados ou rebootados remotamente.

A grande diferença agora é que foram encontrados rastros da comunicação entre os dispositivos atacados e os C&C server (comand and control) via TOR:



Mas o que isso quer dizer na pratica? Na pratica fica muito mais dificil encontrar o os autores dos ataques e e desativar os C&C Servers, além disso, é provável que cada vez mais as ameaças sigam essa linha de anonimato do TOR.

Alguns dos sinais que os seus equipamentos IoT estão vulneráveis:

- Impossibilidade de gerencia dos equipamentos;
- Alteração de senhas e usuários sem atuação da equipe;
- Trafego anormal de saída para destinos desconhecidos (provável DDOS);
- Comunicação dos dispositivos com C&Cs e URLs TOR (ex. nd3rwzslqhxibkl7[.]onion:1356)

Para se previnir vale reforçar as velhas regras de segurança:

- Manter os equipamentos e server atualizados e com os últimos patchs instalados;
- Alterar usuários e senhas default de todos os equipamentos que podem ficar expostos;
- Aplicar multiplos fatores de autenticação (se possível);
- Uma politica reforçada de segurança de perimetro para diminuir as chances de exposição;
- Evitar acesso a redes desconhecidas e inseguras (TOR mesmo é um exemplo a ser bloqueado).

Link reportagem TrendMicro:
https://blog.trendmicro.com/trendlabs-security-intelligence/keeping-a-hidden-identity-mirai-ccs-in-tor-network/

Acredito que esse tipo de ataque irá se tornar rotina no dia a dia dos analistas de Sec, sendo que a utilização de equipamentos IoT está crescendo em níveis elevados, podendo até mesmo uma cidade inteira ser atacada/sequestrada (já existem cidades no Brasil que utilizam toda infraestrutura conectada, as chamadas SmartCities).
 
Abraços