Visão geral

Já se sabe muito sobre o botnet Mirai, devido a uma descrição completa do Malware Must Die, bem como um repositório de código-fonte posteriormente distribuído publicamente. Essa advertência fornece informações sobre eventos de ataques e resultados anteriores à liberação do código do Mirai e aqueles que ocorreram após seu lançamento. A advertência também resumirá os dados pertinentes da pesquisa e, por fim, os processos que levaram aos resultados associados. As assinaturas observadas em ataques reais também estão incluídas e podem ajudar na detecção e atenuação futuras de ataques baseados no Mirai.

Cronograma, estatísticas e assinaturas de eventos de ataque

As assinaturas de ataques Mirai foram observadas pela primeira vez em ataques contra um blog de segurança executado pelo jornalista Brian Krebs. O primeiro ataque, em uma série de quatro, atingiu o pico de 623 Gbps. O cronograma abaixo representa os quatro ataques atenuados pela Akamai.

Krebs DDoS Attack Size and Dates
Figura 1: A primeira série de ataques Mirai observados lançados contra Brian Krebs

Apenas alguns dias após essa série de ataques DDoS, o código-fonte do Mirai tornou-se público. O próximo cronograma representa a largura de banda em gigabits por segundo para ataques confirmados do Mirai que ocorrem após o lançamento desse código. O pico de largura de banda, embora ainda substancial, foi observado principalmente abaixo de 100 Gbps em ataques posteriores. Além disso, a maioria dos ataques foi de 30 milhões de pacotes por segundo.

Mirai Confirmed DDoS - After Source Code Release
Figura 2: Cronograma de ataques que a Akamai atenuou após o lançamento do código do Mirai

O único ataque que atingiu picos com um pouco mais de 30 milhões de pacotes por segundo foi o ataque de 261 Gbps em 11 de outubro. As taxas mais baixas de pacotes gerais podem ser atribuídas em grande parte ao preenchimento adicional em muitos dos ataques Mirai vistos até agora. A maioria desses eventos de ataque usaram vetores com cargas preenchidas com pelo menos 512 bytes de dados. Esses pacotes maiores, embora possam consumir mais largura de banda, geralmente têm uma taxa de transferência de pacotes menor.