Ботнет Mirai, по всей видимости, небезупречен. Одна из уязвимостей, недавно обнаруженных в коде одноименного зловреда, позволяет прервать череду DDoS-атак на приложения, проводимых с его помощью. Однако, воспользовавшись этой брешью, защитники окажутся в «серой зоне», так как взломы в принципе противозаконны.

Совокупно исследователи из Invincea Labs обнаружили в Mirai три уязвимости, в том числе критическую; именно ее эксплуатация способна обезвредить одну из DDoS-функций данного бота. Анализ исходного кода Mirai, опубликованного в конце сентября, выявил возможность переполнения буфера в стеке. Этот баг кроется в сегменте кода, отвечающем за атаки типа HTTP flood; один процесс выполняет атаку, второй неактивен в течение заданного срока, по окончании которого он аннулирует родительский процесс и завершает работу.

По свидетельству Invincea, использование данной уязвимости приводит к ошибке сегментации, сбою процесса и в итоге к прекращению потока HTTP-запросов, генерируемых ботом. Зараженное устройство при этом не страдает и продолжает работать. Исследователи также отметили, что эксплойт не помог бы остановить атаку на DNS-сервис Dyn, но вполне эффективен в случае DDoS уровня 7.

Переполнение буфера, как поведал Threatpost Скотт Теналья (Scott Tenaglia), директор по исследованиям в Invincea Labs, может возникнуть при парсинге пакетов, возвращаемых на злонамеренный HTTP-запрос. Эту ошибку можно использовать, чтобы остановить атаку с зараженного устройства.

Исследователи воспроизвели эксплойт на трех виртуальных машинах: на одной работал отладочный экземпляр Mirai, на другой — командный сервер бота, на третьей — «жертва заражения». Со слов Тенальи, созданный в Invincea эксплойт оказался эффективным на 100%. «Это очень простая модификация, привнесенная в ответ, отдаваемый веб-сервером, — говорит собеседник Threatpost. — Она не противоречит протоколу HTTP, однако клиент воспринимает HTTP-ответ как некорректный».

Важным моментом для PoC-эксплойта, по свидетельству Тенальи, является сохранение интернет-соединения. «Когда мы эксплуатировали уязвимость в атакующем коде, она срабатывала лишь в порожденном процессе, — поясняет исследователь. — Сам бот по-прежнему работает, инфекция не вычищена, но атака при этом прекращается». Как справедливо подметил Теналья, у атакующего в этом случае остается выбор: начать DDoS-атаку заново или пропатчить уязвимость.

Тем временем владельцам защитных сервисов, CDN-сетей и/или сетевым администраторам придется вместе с юристами решать, правомочен такой эксплойт или нет. «В общем случае отправлять код на чужой компьютер нельзя, если это действие не санкционировано, — комментирует Эд Мак-Эндрю (Ed McAndrew), атторней из юридической компании Ballard Spahr, ранее занимавший пост федерального прокурора по делам о киберпреступлениях. — С точки зрения CFAA (закона «О компьютерном мошенничестве и злоупотреблениях»), здесь на самом деле речь идет об авторизованном доступе к защищенному компьютеру. Дело в том, что, если этот код содержится в боте, вы модифицируете код, который находится на устройствах. Думаю, это можно квалифицировать как доступ, и у вас потенциально могут быть проблемы в рамках CFAA».

Хотя в прошлом суды не раз санкционировали операции по истреблению ботнетов, Мак-Эндрю пояснил, что эти деструктивные действия не затрагивали зараженные устройства, а ликвидация очагов инфекции осуществлялась при наличии судебного приказа или согласия владельца — во избежание возможных нарушений CFAA. В данном случае, как отметил юрист, владельцы скомпрометированных устройств, скорее всего, охотно будут сотрудничать с защитниками, помогая им истреблять инфекцию.

Invincea со своей стороны дала понять в своей блог-записи, что она против контратаки. «Это серая зона активной защиты, — признал Теналья. — Для обороны это наболевший вопрос. Допустим, ваше IoT-устройство уже скомпрометировано, и на нем уже работает вредный код. Если я что-нибудь сделаю с кодом плохого парня, будет ли это правонарушением?»

Согласно CFAA, ответный взлом таковым является: этот закон запрещает умышленное причинение ущерба защищенному компьютеру, торговлю паролями, умышленное повреждение данных на компьютере, несанкционированный доступ к правительственным компьютерам или данным и многое другое.

«Я бы не взялся комментировать правомочность таких действий, — сказал в заключение Теналья. — Думаю, это еще один повод для обсуждения активной защиты. Является ли это случаем, когда цель оправдывает средства? Лично я не считаю, что это повредит системе, напротив, это ей поможет. Если бот замедляет интернет-соединение из-за отправки своих пакетов, а атака убьет его процесс, и соединение заработает быстрее, поможет ли она вам? Вот почему я называю такие действия серой зоной».

Категории: DoS-атаки, Вредоносные программы, Главное, Кибероборона, Уязвимости