Aviso sobre amenazas: Mirai Botnet

Autor: Chad Seaman

Descripción general

Ya se sabe bastante sobre la botnet Mirai, en parte gracias a lo publicado por Malware Must Die y otros repositorios de código fuente públicos. Este aviso proporciona información sobre los ataques y hallazgos previos y posteriores a la publicación del código de Mirai. En este aviso también se resumen los datos pertinentes de la investigación y los procesos que dieron lugar a los hallazgos asociados. Además, se incluyen firmas detectadas en ataques reales y que podrían ayudar a la futura detección y mitigación de los ataques basados en Mirai.

Firmas, datos y cronología del ataque

Las firmas de ataque de Mirai se detectaron por primera vez en los ataques al blog de seguridad del periodista Brian Krebs. El primero de un total de cuatro ataques alcanzó los 623 gigabits por segundo. La siguiente cronología representa los cuatro ataques mitigados por Akamai.

Krebs DDoS Attack Size and Dates
Figura 1: Primera serie de ataques de Mirai contra Brian Krebs

Solo unos días después de esta serie de ataques DDoS, el código fuente de Mirai se hizo público. La siguiente cronología representa el ancho de banda en gigabits por segundo para los ataques confirmados de Mirai y realizados justo después de la liberación de este código. El pico de ancho de banda, aun notable, se mantuvo a un máximo de 100 Gbps en estos ataques posteriores. Además, la mayoría de los ataques estuvieron por debajo de los 30 millones de paquetes por segundo.

Mirai Confirmed DDoS - After Source Code Release
Figura 2: Cronología de los ataques mitigados por Akamai tras la publicación del código de Mirai

El único pico de ataque por encima de la marca de los 30 millones de paquetes por segundo fue el de 261 Gbps del 11 de octubre. El índice de paquetes general inferior se puede atribuir en su mayor parte a la carga adicional en muchos de los ataques de Mirai perpetrados hasta ahora. La mayoría de ellos utilizan vectores con cargas útiles adicionales de al menos 512 bytes de datos. Estos paquetes más grandes, si bien consumen más ancho de banda, tienen un menor rendimiento.