A botnet IoT começou a ser comandada por white hats tudo por falta de proteção dos black hat. A combinação fraca utilizador:password de acesso à base de dados do C&C server permitiu a um especialista de segurança aceder à base de dados de controlo da botnet.
O especialista em segurança Ankit Anubhav, da Newsky Security, descobriu que a botnet IoT era controlada por uma arquitetura mal configurada; o botmaster usava credenciais fracas para a autenticação com o C&C server.
O especialista explorarou a fraca configuração para assumir o servidor MySQL usado para controlar a botnet Owari. O autor da botnet deixou a porta 3306 aberta, permitindo a autenticação com “root” como nome de utilizador e password.
“We observed few IPs attacking our honeypots with default credentials, with executing commands like /bin/busybox OWARI post successful login. In one of the cases, a payload hosted on 80(.)211(.)232(.)43 was attempted to be run post download.
When we investigated the IP, we observed that port 3306, the default port for MySQL database, was open.” reads the blog post published by Ankit Anubhav.
“We tried to investigate more into this IP. To our surprise, it is connected to the attacker’s servers using one of the weakest credentials known to mankind.
Username: root
Password: root“
Esta situação é no mínimo absurda considerando que as botnets baseadas na Mirai, incluindo a Owari, se disseminam através de dispositivos IoT através de brute-force de palavras-passe e também aproveitando-se de senhas default dos sistemas.
A investigação da base de dados levada a cabo pelo especialista conclui que a BD possui uma tabela denominada “User” que contém dados de autenticação supostamente de vários hackers de forma a puderem controlar toda a botnet.
“User table contains login credentials for various users who will control the botnet. Some of them can be botnet creators, or some can simply be the customers of the botnet, a.k.a black box users, who pay a sum of money to launch DDoS attacks. Besides credentials, duration limit such as for how much time the user can perform the DDoS, maximum available bots for attack (-1 means the entire botnet army of the bot master is available) and cooldown time (time interval between the two attack commands) can also be observed.” continues the expert.
“In the specific Owari case, we observe one user with duration limit of 3600 seconds with permissible bot usage set as -1(maximum). It is to be noted that the credentials of all these botnet users are also weak.”
Esta descoberta foi de facto importante, uma vez que também possibilitou identificar uma tabela denominada “history” que contém informação relativo a alguns ataques DDoS — alguns inclusive a botnets IoT rivais.
Anubhav também investigou o modelo de receita por trás da botnet Owari. Ele foi capaz de contactar um black hat da Owari, conhecido no mundo online como “Scarface”, e que endereçou o seguinte comentário:
“For 60$ / month, I usually offer around 600 seconds of boot time, which is low compared to what other people offer. However, it is the only way I can guarantee a stable bot count.” explained Scarface.
“I can’t allow having 10+ people doing concurrent attacks of 1800 seconds each. Usually there is no cooldown on my spots. If I decide to give the cooldown, it’s about 60 seconds or less. 60$/month is not much but when you get 10–15 costumers per month it is enough to cover most of my virtual expenses”
A botnet, no entanto, continuará a operar uma vez que os black hats conseguem de forma continua alterar os endereços de IP de toda a rede.
Os IPs maliciosos, inclusive o de acesso a BD MySQL da botnet já se encontram offline e inacessiveis.