Botnet Mirai - Panoramica e nuovi IOC trovati su Web OpenDIR

Botnet Mirai - Panoramica e nuovi IOC trovati su Web OpenDIR

Mirai è un malware atto ad infettare dispositivi IoT e collegarli ad una botnet, per poi essere successivamente utilizzati in attacchi DDoS su larga scala, verso organizzazioni o istituzioni.

Mirai è un malware open source, scritto in linguaggio C e Go che colpisce, nelle sue versioni "iniziali", solo sistemi Linux.
È stato pensato per colpire architetture di CPU ARM, x86, Sparc, PowerPC e Motorola per garantire una copertura il più ampia possibile tra i dispositivi IoT.

Il codice sorgente di Mirai è stato soggetto ad un leak ed è stato condiviso su GitHub. Il progetto è consultabile qui:
https://github.com/jgamblin/Mirai-Source-Code

Recentemente (04/12/18), è stata caricata una cosiddetta "Web OpenDir", ossia una cartella il cui accesso è aperto a tutto Internet, contenente dei binari mirati per le categorie di processori per dispositivi IoT precedentemente citati.

La risorsa WebDIR risultava accessibile al seguente indirizzo:

http://205.185.118.172/bins/

Tale indirizzo è stato usato dal malware originale per scaricare il binario necessario per infettare i dispositivi, perciò non eseguite i binari su dispositivi in vostro possesso, a meno che non sia per scopi di test.

I files presenti nella OpenDIR sono 18, di cui due certificati digitali con estensione spc.

Ho scaricato ed estratto gli MD5 di tutti i files, per permettere una eventuale verifica:

c887e24806161dd8654568329535f602    mirai.arm
4e5f3897f007519861cc0aa08afc664a    mirai.arm7
5aae407ead9d654033e9ee97e582227f    mirai.m68k
e0ec2cd43f71c80d42cd7b0f17802c73    mirai.mips
a261abc3f0b2a183f5da5eebf121a04e    mirai.mpsl
71e976d7640e2df4c369b3c8e27186ad    mirai.ppc
36327bd70a05e52d6711b2cb9bf7fbba    mirai.sh4
ffd9facda2fba1bafded0486e2e0ea7a    mirai.spc
8e69c06a2d8aa30c9d5d81825f79f491    mirai.x86
88c93aade52f1916c0f8464ff75232fe    miraint.arm
55a2cdfff096014549a4d38bd5b7d426    miraint.arm7
17e0a39e50d5c861c16bdd36f9ae9cf4    miraint.m68k
94d0cd2c05debe8935ca5d75454cd4cf    miraint.mips
9d76301b2176759304e91741eaa59cc1    miraint.mpsl
65d8bc24299f242107d2717818ffdf3e    miraint.ppc
097d24f0e3b559e2d516ec39df5883bc    miraint.sh4
b5300ff4699c327250b6b8939bf01873    miraint.spc
1df1a36e134a79bfcda16c384521fb3c    miraint.x86
Mostra i Commenti