Alerte de sécurité : Botnet Mirai

Auteur : Chad Seaman

Présentation

On connaît déjà beaucoup de choses sur le botnet Mirai grâce à un argumentaire rigoureux rédigé par le collectif Malware Must Die ainsi qu’à un référentiel du source code diffusé publiquement peu de temps après. Cette alerte fournit des informations sur les événements liés à des attaques et présente les conclusions qui ont été formulées avant la sortie du code Mirai, mais aussi après. Les résultats de recherches pertinentes seront également résumés, de même que les processus employés pour arriver à de telles conclusions. On retrouve également des signatures observées lors d'attaques dans le monde réel qui pourraient faciliter les futures détections et la protection contre les attaques Mirai

Historique des événements liés aux attaques, Statistiques et signatures

Les premières signatures d'attaques Mirai ont été observées au cours d'attaques contre un blog dédié à la sécurité tenu par le journaliste Brian Krebs. La première d’une série de quatre attaques a enregistré un pic de 623 Gbit/s. L’historique ci-dessous représente les quatre attaques contrées par Akamai.

Krebs DDoS Attack Size and Dates
Figure 1 : Première série d'attaques Mirai observées lancées contre Brian Krebs

Quelques jours seulement après cette série d'attaques DDoS, le code source de Mirai a été rendu public. L’historique suivant représente la bande passante en gigabits par seconde pour les attaques de Mirai confirmées ayant eu lieu après la publication de ce code. Le pic de bande passante, bien qu’encore conséquent, n’a pas représenté plus de 100 Gbit/s lors des attaques suivantes. De plus, la plupart des attaques ne dépassaient pas 30 millions de paquets par seconde.

Mirai Confirmed DDoS - After Source Code Release
Figure 2 : Historique des attaques contrées par Akamai après la publication du code Mirai

La seule attaque dépassant 30 millions de paquets par seconde est l'attaque du 11 octobre qui représente un pic de 261 Gbit/s. Le nombre général de paquets réduit peut être attribué en grande partie au rembourrage supplémentaire dans un grand nombre des attaques Mirai vues jusqu'ici. La plupart de ces événements liés aux attaques utilisaient des vecteurs avec des charges rembourrées par au moins 512 octets de données. Ces paquets plus importants, bien que capables de consommer davantage de bande passante, ont généralement un débit de paquets plus faible.