Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Sicurezza IoT: Il Miner Trinity usa le porte ADB aperte per colpire i dispositivi smart
- LUNEDÌ 29 LUGLIO 2019


Ormai praticamente tutti dispongono di un dispositivo IoT: la quasi totalità di questi usano processori ARM e eseguono un sistema operativo Android o Unix. Tra questi dispositivi troviamo smartphone, smart TV, router, DVR, camere IP ecc... Che ormai i dispositivi IoT (spesso scadenti in termini di sicurezza) siano diventati un nuovo bersaglio dei cyber criminali è risaputo: anche i dati raccolti dall'honeypot*di Quick Heal confermano il trend.

* un hardware o software esca/trappola, usato per studiare in ambiente protetto e sotto il controllo dei ricercatori gli attacchi dei cyber criminali. 

L'era dell'IoT è caratterizzata da una connessione ad Internet continua e dalla visibilità pubblica dei dispositivi connessi. Questo è un vantaggio e al contempo un problema, sopratutto se il dispositivo è carente in termini di sicurezza. Ad esempio, molti produttori di smart TV vendono le proprie TV con versioni non certificate di Android che hanno la porta ADB aperta (anche su alcuni smartphone Android tale porta è mantenuta aperta di default). Inoltre, molte volte gli utenti attivano il sideload di app come netflix, per dirne una, su smart TV e smartphone: anche questo avviene tramite la porta ADB. Usando tale porta, un attaccante può ottenere accesso completo al dispositivo Android, incluse le webcam. Quick Heal ha individuato tre tipologie principali di attacchi sui dispositivi IoT:

1. Attacchi ai DNS sui router
2. Miner peer to peer per Android
3. Botnet Mirai 

Questi attacchi comportano un elevato consumo del processore, spesso portando all'arresto anomalo del dispositivo IoT, che a sua volta finisce come nodo di una botnet, usato per ulteriori attacchi. Tre sono le modalità tramite le quali un dispositivo Andorid può essere attaccato via Internet senza che sia richiesta l'interazione dell'utente:

1. attacco su IP pubblico statico
2. attacco entro la rete WAN
3. attacco entro la rete LAN.

Attacco ai dispositivi Android via IP pubblico statico

                                          Dispositivi infetti attaccano i dispositivi Android con IP pubblico 

Scenario di attacco
Sia in una casa che in un'azienda, solitamente, Internet è fornito da provider, dai quali otteniamo un IP locale: questo significa che tutti gli utenti di un certo provider sono interconnessi. Questi utenti condividono, in generale, lo stesso IP pubblico e ottengono dall'ISP un IP locale diverso. Alcune aziende però ottengono un IP pubblico statico dedicato, tramite il quale tutti i loro dispositivi sono direttamente accessibili sull'Internet pubblico. 

Gli attaccanti quindi scansionano, da tutto il mondo, i dispositivi connessi ad Internet con la porta ADB aperta su un IP pubblico. Un solo dispositivo infetto può, di conseguenza, infettare tutti i dispositivi collegati in una casa, quindi quelli presenti nella casa del vicino usando un meccanismo molto simile a quello dei torrent, ad esempio il peer to peer. 

Analisi della botnet Trinity
I ricercatori di Quick Heal hanno osservato il Miner Trinity, che ha preso di mira l'honeypot dei Quick Heal Security Labs tre volte al giorno da IP diversi. Questo miner ha caratteristiche peculiari: utilizza la porta ADB come sistema di ingresso al sistema, esegue il miner, quindi analizza gli ulteriori dispositivi collegati ad una rete.

Geolocalizzazione degli attacchi contro l'honeypot Quick Heal

Il modulo per la diffusione è contenuto in un file .elf, pensato appositamente per processori ARM: il file ELF per prima cosa verificherà se nel dispositivo infetto il miner Trinity sia già in esecuzione o meno. Se nel dispositivo il miner Trinity non è ancora installato, la catena di infezione prosegue e il dispositivo, oltre a produrre criptovaluta senza la consapevolezza dell'utente, diviene anche nodo della botnet relativa. Se invece Trinity è già in esecuzione, l'infezione non procederà oltre: un sistema intelligente di risparmiare tempo ed evitare di tentare più infezioni su dispositivi già compromessi.

Al termine dell'infezione, il dispositivo infetto avvia la scansione di altri dispositivi connessi in una rete: una volta che ne viene trovato uno con la porta ADB aperta, viene verificato che non sia già stato infettato, poi procede all'infezione. Se invece il dispositivo è già infetto, riceverà la istruzioni per eseguire il miner. In questo scenario non c'è bisogno di alcuna autenticazione, inoltre la porta ADB è accessibile senza alcuna credenziale. 

Da notare che, in questo attacco, i cyber attaccanti non hanno fatto nulla per ottenere la persistenza sui dispositivi: non ne hanno semplicemente bisogno. Il bot corrente infatti sta già creando più bot: ciò significa che, se anche dovesse venire arrestato il binario in esecuzione sul dispositivo corrente, saranno gli altri dispositivi ad eseguire il miner. 

Quick Heal Home Security
Ne abbiamo già parlato qui : è una soluzione per un wi-fi sicuro, utile a proteggere da cyber attacchi tutti i dispositivi smart connessi ad Internet. Include firewall, sicurezza URL, IDPS e IPS e altre funzioni specificatamente pensate per le tipologie di attacco che colpisco i dispotivi IoT. Blocca il traffico in ingresso da reti pubbliche, consente solo il traffico avviato dalla nostra soluzione di sicurezza, supporta il blocco degli URL per proteggere in tempo reale dagli attacchi peer-to-peer. Il motore IDS/IPS vine aggiornato con le firme dei più recenti attacchi e vulnerabilità. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 25 LUGLIO 2019
Quick Heal: report delle minacce - 2° Trimestre 2019
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi del 2° trimestre del 2019, per home user e aziende. Si divide in due sezioni...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login