Botnet Mirai - Nuovi IOC trovati su una OpenDIR

Botnet Mirai - Nuovi IOC trovati su una OpenDIR

Mirai è un malware atto ad infettare dispositivi IoT e collegarli ad una botnet, per poi essere successivamente utilizzati in attacchi DDoS su larga scala, verso organizzazioni o istituzioni.

Mirai è un malware open source, scritto in linguaggio C e Go che colpisce, nelle sue versioni "iniziali", solo sistemi Linux.
È stato pensato per colpire architetture di CPU ARM, x86, Sparc, PowerPC e Motorola per garantire una copertura il più ampia possibile tra i dispositivi IoT.

Il codice sorgente di Mirai è stato soggetto ad un leak ed è stato condiviso su GitHub. Il progetto è consultabile qui:

GitHub - jgamblin/Mirai-Source-Code: Leaked Mirai Source Code for Research/IoC Development Purposes
Leaked Mirai Source Code for Research/IoC Development Purposes - GitHub - jgamblin/Mirai-Source-Code: Leaked Mirai Source Code for Research/IoC Development Purposes

Recentemente (04/12/18), è stata caricata una cosiddetta "Web OpenDir", ossia una cartella il cui accesso è aperto a tutto Internet, contenente dei binari mirati per le categorie di processori per dispositivi IoT precedentemente citati.

La WebDIR risultava accessibile all'indirizzo:

http://205.185.118.172/bins/

Questa risorsa è stata sfruttata dal codice originale per scaricare i binari precompilati, necessari per infettare le specifiche architetture dei dispositivi colpiti.

I file presenti nella OpenDIR sono 18, di cui due certificati digitali con estensione spc.

Ho scaricato ed estratto gli MD5 di tutti i files, per permettere una eventuale verifica:

c887e24806161dd8654568329535f602    mirai.arm
4e5f3897f007519861cc0aa08afc664a    mirai.arm7
5aae407ead9d654033e9ee97e582227f    mirai.m68k
e0ec2cd43f71c80d42cd7b0f17802c73    mirai.mips
a261abc3f0b2a183f5da5eebf121a04e    mirai.mpsl
71e976d7640e2df4c369b3c8e27186ad    mirai.ppc
36327bd70a05e52d6711b2cb9bf7fbba    mirai.sh4
ffd9facda2fba1bafded0486e2e0ea7a    mirai.spc
8e69c06a2d8aa30c9d5d81825f79f491    mirai.x86
88c93aade52f1916c0f8464ff75232fe    miraint.arm
55a2cdfff096014549a4d38bd5b7d426    miraint.arm7
17e0a39e50d5c861c16bdd36f9ae9cf4    miraint.m68k
94d0cd2c05debe8935ca5d75454cd4cf    miraint.mips
9d76301b2176759304e91741eaa59cc1    miraint.mpsl
65d8bc24299f242107d2717818ffdf3e    miraint.ppc
097d24f0e3b559e2d516ec39df5883bc    miraint.sh4
b5300ff4699c327250b6b8939bf01873    miraint.spc
1df1a36e134a79bfcda16c384521fb3c    miraint.x86

Questo sito necessita di caffeina per andare avanti

Non dormo da dieci giorni

Offrimi un caffè ☕