Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareMinacce

La botnet Persirai prende di mira telecamere IP wireless

botnet  DDoS  IoT  Persirai   giovedì, 11 maggio 2017

Wireless IP CameraI ricercatori di sicurezza di Trend Micro hanno scoperto una nuova botnet formata da dispositivi IoT, in particolare telecamere IP wireless basate su modelli OEM distribuiti da diversi rivenditori cinesi.

Il malware responsabile della botnet, battezzato Persirai a causa della sua possibile origine iraniana, tenta di infiltrasi nei dispositivi esposti su Internet sfruttando una serie di vulnerabilità zero-day di pubblico dominio presenti nel firmware, tipicamente un sistema Linux embedded. Queste vulnerabilità affliggono prevalentemente l’interfaccia Web dei dispositivi e sono presenti in un numero molto elevato di modelli, si stima superiore a 1250. Se sfruttate con successo, queste vulnerabilità consentono ad un attaccante remoto di aggirare l’autenticazione e di eseguire comandi arbitrari con i privilegi di root.

In particolare, il bot Persirai, il cui codice è basato su quello di Mirai, sfrutta diverse combinazioni delle seguenti vulnerabilità, recentemente divulgate da un ricercatore di sicurezza indipendente:

Una volta penetrato nell’interfaccia vulnerabile, l’attaccante esegue specifici comandi per forzare la telecamera IP a connettersi ad un sito malevolo da cui scarica ed esegue uno script di shell che a sua volta effettua il download di diversi file binari eseguibili che costituiscono il payload vero e proprio del malware. Dopo l’esecuzione, questi file vengono cancellati ed il malware resta in esecuzione unicamente in memoria.

Persirai si connette ad una serie di server C&C ed inizia ad attaccare altre telecamere IP sfruttando gli exploit zero-day precedentemente descritti. Per evitare che altri attaccanti o altri bot prendano possesso del dispositivo infettato, Persirai blocca gli exploit sfruttati. Un riavvio del dispositivo elimina il malware ma lo rende nuovamente vulnerabile agli attacchi.

La botnet Persirai è in grado di effettuare attacchi DDoS di tipo UDP flood mediante invio di pacchetti SSDP (Simple Service Discovery Protocol) senza la necessità di effettuare lo spoofing degli indirizzi IP.

Utilizzando il motore di ricerca Shodan, Trend Micro ha rilevato la presenza di più di 120.000 telecamere IP esposte su Internet vulnerabili agli attacchi di Persirai, distribuite prevalentemente in Cina (20,3%), Tailandia (11,6%), Stati Uniti (8,84%), Hong Kong (4,66%), Messico (3,44%), Brasile (3,43%), Regno Unito (3,4%), Italia (3,37%), Giappone (3,33%) e Corea del Sud (3%).

Nell’articolo originale di Trend Micro sono inclusi i dettagli tecnici del malware Persirai, assieme ad una serie di indicatori di compromissione (IoC).

Notizie correlate

Varianti di Mirai utilizzate in attacchi a server Linux in cluster Hadoop

22 novembre 2018

Gli esperti di ASERT hanno scoperto nuove varianti del bot Mirai che prendono di mira server Linux sfruttando una vulnerabilità nota della piattaforma Apache Hadoop YARN.Leggi tutto

Milioni di dispositivi di videosorveglianza Xiongmai attaccabili dal Cloud

12 ottobre 2018

Sono state individuate diverse vulnerabilità nell'infrastruttura Cloud di Xiongmai che consentono di compromettere milioni di telecamere IP, DVR e NVR di questo produttore.Leggi tutto

La botnet Torii prende di mira una vasta gamma di dispositivi IoT

28 settembre 2018

I ricercatori di Avast hanno pubblicato i risultati dell'analisi di una nuova botnet IoT denominata Torii, che presenta caratteristiche tecniche molto avanzate.Leggi tutto