Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Mirai botnet
2 views
Skip to first unread message
Marc SCHAEFER
Feb 4, 2023, 11:11:38 AM2/4/23
to
Bonjour,
le botnet Mirai utilise des systèmes embarqués Linux pour par exemple,
via un réseau Commande et contrôle (peut-être basé IRC), attaquer en
masse (DDoS) des systèmes sur Internet.
Il infecte des systèmes embarqués (caméra, IoT, etc) via des buffers
overflows de certains protocoles, télécharge un exécutable (payload) et
essaie de pirater d'autres systèmes similaires ainsi que d'écouter sur
des systèmes C&C des instructions.
Un IDS (système de détection d'intrusion) que j'exploite localement m'a
signalé la réception d'un tel datagramme UDP sur un équipement réseau à
plusieurs reprises depuis quelques jours.
Cela signifie-t-il que mon réseau est ciblé spécifiquement, ou puis-je
supposer que c'est encore une attaque automatique aveugle?
Après contrôle, cet équipement était à jour et n'a aucun service sur le
port concerné, je suppose donc qu'il n'a pas été infecté (je surveille
son trafic sans rien voir d'anormal. Je tourne ce genre d'équipements
sur un VLAN séparé qui a de toute façon un accès Internet limité.
L'adresse IP émettrice est probablement falsifiée (spoofing).
Dans le paquet UDP se trouve un shellcode et le téléchargement d'un
exécutable via HTTP. J'ai téléchargé manuellement cet exécutable, ça a
fonctionné et c'est bien un Mirai. J'ai signalé sur abuseipdb.com (il y
avait plein de signalements pour des attaques de cette adresse IP) et
contacté l'hébergeur (au Luxembourg apparemment).
Aucune machine de mon réseau n'a téléchargé depuis cette adresse IP
dans les dernières semaines (j'ai vérifié les logs), à part le
téléchargement manuel que j'ai effectué.
Ma question: s'agit-il du véritable botnet Mirai, dans une tentative
d'attaquer automatiquement, ou spécifiquement des infrastructures
de mon réseau, de mon canton (*), ou de la Suisse, ou cela pourrait-il
être des chercheurs qui veulent p.ex. faire une carte des éléments
vulnérables ? Comment savoir (**)?
Merci de vos lumières.
(*) il y a eu plusieurs attaques, dont certaines réussies, de
ransomware dans des institutions de formatione t des entreprises
de mon canton ces derniers mois, mais plutôt sous la forme
de piratages Microsoft usuels.
(**) j'hésite à le lancer sur un système physique jetable, style
Raspberry PI 3, dans un réseau contrôlé
--
Attention: limitez le nombre de lignes de citation à l'essentiel, sinon
je ne verrai pas votre réponse. Et si vous écrivez souvent des bobards,
je ne vous lirai plus et je recommanderai (NoCeM) de ne plus vous lire.
le botnet Mirai utilise des systèmes embarqués Linux pour par exemple,
via un réseau Commande et contrôle (peut-être basé IRC), attaquer en
masse (DDoS) des systèmes sur Internet.
Il infecte des systèmes embarqués (caméra, IoT, etc) via des buffers
overflows de certains protocoles, télécharge un exécutable (payload) et
essaie de pirater d'autres systèmes similaires ainsi que d'écouter sur
des systèmes C&C des instructions.
Un IDS (système de détection d'intrusion) que j'exploite localement m'a
signalé la réception d'un tel datagramme UDP sur un équipement réseau à
plusieurs reprises depuis quelques jours.
Cela signifie-t-il que mon réseau est ciblé spécifiquement, ou puis-je
supposer que c'est encore une attaque automatique aveugle?
Après contrôle, cet équipement était à jour et n'a aucun service sur le
port concerné, je suppose donc qu'il n'a pas été infecté (je surveille
son trafic sans rien voir d'anormal. Je tourne ce genre d'équipements
sur un VLAN séparé qui a de toute façon un accès Internet limité.
L'adresse IP émettrice est probablement falsifiée (spoofing).
Dans le paquet UDP se trouve un shellcode et le téléchargement d'un
exécutable via HTTP. J'ai téléchargé manuellement cet exécutable, ça a
fonctionné et c'est bien un Mirai. J'ai signalé sur abuseipdb.com (il y
avait plein de signalements pour des attaques de cette adresse IP) et
contacté l'hébergeur (au Luxembourg apparemment).
Aucune machine de mon réseau n'a téléchargé depuis cette adresse IP
dans les dernières semaines (j'ai vérifié les logs), à part le
téléchargement manuel que j'ai effectué.
Ma question: s'agit-il du véritable botnet Mirai, dans une tentative
d'attaquer automatiquement, ou spécifiquement des infrastructures
de mon réseau, de mon canton (*), ou de la Suisse, ou cela pourrait-il
être des chercheurs qui veulent p.ex. faire une carte des éléments
vulnérables ? Comment savoir (**)?
Merci de vos lumières.
(*) il y a eu plusieurs attaques, dont certaines réussies, de
ransomware dans des institutions de formatione t des entreprises
de mon canton ces derniers mois, mais plutôt sous la forme
de piratages Microsoft usuels.
(**) j'hésite à le lancer sur un système physique jetable, style
Raspberry PI 3, dans un réseau contrôlé
--
Attention: limitez le nombre de lignes de citation à l'essentiel, sinon
je ne verrai pas votre réponse. Et si vous écrivez souvent des bobards,
je ne vous lirai plus et je recommanderai (NoCeM) de ne plus vous lire.
0 new messages