Il team di ricercatori IoT di Avira ha recentemente individuato una nuova variante della botnet Mirai che prende il nome dalla spada giapponese Katana. Pur essendo ancora in fase di sviluppo, questa botnet dispone già di moduli quali DDos layer 7, diverse crittografie a seconda del luogo di origine, capacità di autoreplicarsi rapidamente e connessione sicura al server di comando e controllo (C&C). Secondo alcune ipotesi, in futuro Katana potrebbe essere collegata a una botnet bancaria che agisce tramite protocollo di rete HTTP.
Già a giugno Avira Protection Labs aveva evidenziato come la botnet IoT Mirai si fosse evoluta rispetto al momento della pubblicazione del suo codice sorgente nel 2017. Un’analisi attuale sugli attacchi IoT e sulle tendenze in ambito malware condotta da Avira mostra che Mirai è in continua trasformazione. Spesso le sue varianti vengono pubblicizzate anche sui canali YouTube, come ad esempio il canale VegaSec.
Grazie alla semplicità di accesso e alle ulteriori modifiche, anche i cybercriminali inesperti riescono a creare botnet dannose potenzialmente in grado di causare un costante aumento degli attacchi IoT sferrati tramite botnet.
Katana in dettaglio
Nelle scorse due settimane il team di Avira ha rilevato, tramite honeypot, un’ondata di file binari di malware finora sconosciuti e ha deciso di analizzare a fondo la questione. Dalle ricerche è emerso che la botnet Katana cerca di sfruttare vecchie vulnerabilità di sicurezza in router Linksys e GPON di precedente generazione attraverso l’esecuzione di codici remoti e Command Injection. Benché utilizzi exploit vecchi (Avira presume che si trovi ancora in fase di test e sviluppo), la botnet Katana ha richiamato l’attenzione del team di ricercatori IoT di Avira in quanto:
- infetta attivamente centinaia di dispositivi ogni giorno;
- contiene le classiche funzionalità di Mirai come un nome di processo casuale o un watchdog;
- come Mirai offre diversi comandi DDoS come “attack_app_http” oppure “attack_get_opt_int”.
Katana viene scaricata da diversi indirizzi IP in un determinato periodo di tempo. I dati raccolti da Avira mostrano come funziona il processo di download. La botnet IoT viene eseguita come istanza singola collegando più porte.
“Katana contiene diverse funzionalità di Mirai. Tra queste vi sono l’esecuzione di una singola istanza, un nome di processo casuale, la modifica del watchdog per evitare un riavvio del dispositivo nonché comandi DDoS“, spiega il Direttore di Avira Protection Labs, Alexander Vukcevic. “Il problema è che le nuove varianti di Mirai, come Katana, circolano sia nella DarkNet che su siti legali come YouTube permettendo, quindi, anche a pirati informatici inesperti di creare la propria botnet“.