Notifica di minacce: botnet Mirai

Autore: Chad Seaman

Panoramica

Molto si sa ormai sulla botnet Mirai grazie al dettagliato resoconto redatto dai ricercatori del blog Malware Must Die e all'archivio di codice sorgente successivamente distribuito pubblicamente. Questa notifica fornisce informazioni su eventi di attacco e dati precedenti al rilascio del codice Mirai, nonché su quelli successivi a tale rilascio. Vengono inoltre riepilogati i risultati di ricerca pertinenti e infine illustrati i processi che hanno condotto alle relative conclusioni. Le firme osservate nel corso di attacchi avvenuti realmente vengono incluse e sfruttate anche nei futuri interventi di rilevamento e mitigazione degli attacchi basati su Mirai.

Eventi di attacco: cronologia, statistiche e firme

Le firme degli attacchi Mirai sono state osservate per la prima volta negli attacchi lanciati contro il blog sulla sicurezza del giornalista Brian Krebs. Il primo dei quattro attacchi in serie ha raggiunto i 623 Gbps. Il grafico cronologico riportato di seguito illustra i quattro attacchi mitigati da Akamai.

Krebs DDoS Attack Size and Dates
Figura 1: Prima serie di attacchi Mirai osservati lanciati contro Brian Krebs

Pochi giorni subito dopo questa serie di attacchi DDoS è stato reso pubblico il codice sorgente Mirai. Il grafico cronologico successivo illustra invece la larghezza di banda in gigabit al secondo degli attacchi Mirai confermati, sferrati dopo il rilascio di tale codice. Negli attacchi successivi il picco della larghezza di banda, per quanto sempre sostanziale, si è mantenuto per lo più al di sotto dei 100 Gbps, con la maggior parte degli attacchi al di sotto dei 30 milioni di pacchetti al secondo.

Mirai Confirmed DDoS - After Source Code Release
Figura 2: Cronologia degli attacchi mitigati da Akamai in seguito al rilascio del codice Mirai

L'unico attacco che ha generato un picco superiore al limite dei 30 milioni di pacchetti per secondo è stato lanciato l'11 ottobre ed era di 261 Gbps. La generale riduzione nella velocità dei pacchetti è da attribuire prevalentemente al padding aggiuntivo in molti degli attacchi Mirai osservati finora. Nella maggior parte di questi eventi di attacco sono stati utilizzati vettori con payload riempiti con almeno 512 byte di dati. Questi pacchetti di dimensioni superiori, in grado di consumare più larghezza di banda, presentano solitamente un throughput più basso.