mirai - RunkIntel

# Mirai > Tipo: **botnet IoT** · [Wikipedia](https://en.wikipedia.org/wiki/Mirai_(malware)) · [Cloudflare Analysis](https://blog.cloudflare.com/inside-mirai-the-infamous-iot-botnet-a-retrospective-analysis/) ## Visão Geral [[mirai|Mirai]] e um malware de botnet que infecta dispositivos IoT (roteadores, cameras de segurança, DVRs) com Linux embarcado, recrutando-os para lancamento de ataques DDoS de escala massiva. Descoberto pelo grupo de pesquisa MalwareMustDie em agosto de 2016, o Mirai rapidamente se tornou o botnet IoT mais impactante da historia, atingindo mais de 600.000 dispositivos no pico em novembro de 2016. O nome vem da serie de anime jáponesa *Mirai Nikki* (2011). O Mirai foi criado por Paras Jha (alias "Anna-senpai") como ferramenta de servico DDoS-for-hire para o mercado de jogos online, mas seu impacto foi muito alem do planejado. Em outubro de 2016, o botnet foi usado para derrubar o provedor de DNS [[dyn-ddos-2016|Dyn]], tornando inacessiveis GitHub, Twitter, Netflix, Reddit e dezenas de outros servicos por horas. O ataque foi o maior ataque DDoS documentado até então, atingindo 1,2 Tbps. O código-fonte do Mirai foi públicado no Hackforums em setembro de 2016 pelo proprio autor, precipitando a proliferacao de dezenas de variantes. Pesquisadores documentaram mais de 33 clusters independentes de infraestrutura C2 e mais de 50 variantes distintas ao longo dos anos seguintes, cada uma incorporando novas vulnerabilidades e alvos. Em 2025, variantes como Aisuru (300.000+ dispositivos) ainda produzem ataques recordes - 31,4 Tbps foram bloqueados pela Cloudflare em fevereiro de 2026. **Plataformas:** Linux (dispositivos IoT embarcados - roteadores, cameras, DVRs) ## Como Funciona A arquitetura do Mirai e composta por dois módulos principais: **Módulo de Replicacao:** Realiza varredura assincrona e sem estado de endereco IPv4 aleatorios nas portas Telnet TCP/23 e TCP/2323. Ao identificar um dispositivo responsivo, tenta login por forca bruta usando uma lista codificada de 62 pares de usuario/senha padrao de fabricantes IoT. Após comprometer o dispositivo, reporta ao servidor C2 para que o payload atual sejá instalado. O malware se autodestroi após execução (deleta o binario) e ofusca o nome do processo com string alfanumerica aleatoria. **Módulo de Ataque:** Recebe comandos do servidor C2 para lancar DDoS contra alvos específicados. Suporta múltiplos vetores: SYN flood, UDP flood, HTTP GET/POST flood, GRE flood, ACK flood, e ataques DNS "Water Torture". A diversidade de métodos permite ataques volumetricos, de camada de aplicação e de exaustao de estado TCP. **Ciclo de vida do bot:** 1. Varredura TCP/SYN em IPs aleatorios (telnet 23/2323) 2. Forca bruta com 62 credenciais padrao IoT 3. Relato ao servidor de loader com IP e credenciais 4. Download e execução do payload do Mirai 5. Eliminacao de processos concorrentes (outros malwares, SSH) 6. Listagem na base de bots do C2 7. Aguarda comandos de ataque ## Attack Flow ```mermaid graph TB A["🔍 Varredura IoT TCP SYN em IPs aleatorios Portas 23 e 2323 Telnet"] --> B["🔑 Forca Bruta 62 credenciais padrao IoT ex: admin/admin, root/xc3511"] B --> C["📡 Infecção Download payload Mirai Relato ao servidor C2"] C --> D["🤖 Bot Ativo Deleta binario Ofusca processo"] D --> E["📨 Comando DDoS C2 envia alvo e tipo de ataque"] E --> F["💣 Ataque DDoS SYN/UDP/HTTP flood até 1+ Tbps"] classDef scan fill:#1a5276,color:#fff,stroke:#154360 classDef brute fill:#7f8c8d,color:#fff,stroke:#626567 classDef infect fill:#c0392b,color:#fff,stroke:#922b21 classDef bot fill:#8e44ad,color:#fff,stroke:#6c3483 classDef cmd fill:#d35400,color:#fff,stroke:#a04000 classDef ddos fill:#922b21,color:#fff,stroke:#6e2318 class A scan class B brute class C infect class D bot class E cmd class F ddos ``` ## Timeline ```mermaid timeline title Mirai - Historia e Variantes 2016-08 : Descoberto pelo MalwareMustDie 2016-09 : Ataque a KrebsOnSecurity (623 Gbps) e OVH (1 Tbps) 2016-09 : Código-fonte publicado no Hackforums 2016-10 : Derruba DNS Dyn - GitHub, Netflix, Twitter offline 2016-11 : Pico 600 000 dispositivos infectados 2016-11 : Deutsche Telekom - 900 000 roteadores derrubados 2017-12 : Variante Satori explora CVE-2017-17215 Huawei 2018-01 : Variantes Masuta e PureMasuta (D-Link HNAP) 2018-03 : Variante OMG transforma bots em proxies 2020 : Variante Moobot ativa 2024 : Variante Gayfemboy - sistemas globais 2024-10 : Recorde 5,6 Tbps por variante Mirai (13 000 dispositivos) 2025 : Variante Aisuru - 300 000 dispositivos, ataque 31,4 Tbps ``` ## Técnicas MITRE ATT&CK | Técnica | Descrição | |---------|-----------| | [[t1110-001-password-guessing\|T1110.001]] | Password Guessing - forca bruta com credenciais padrao | | [[t1498-network-denial-of-service\|T1498]] | Network Denial of Service - ataques DDoS massivos | | [[t1498-001-direct-network-flood\|T1498.001]] | Direct Network Flood - SYN/UDP/HTTP flood | | [[t1595-002-vulnerability-scanning\|T1595.002]] | Vulnerability Scanning - varredura Internet-wide | | [[t1059-004-unix-shell\|T1059.004]] | Unix Shell - execução de comandos em dispositivos Linux | | [[t1070-indicator-removal\|T1070]] | Indicator Removal - deleta binario após execução | | [[t1105-ingress-tool-transfer\|T1105]] | Ingress Tool Transfer - download payload do servidor C2 | ## Variantes Principais | Variante | Ano | Inovacao | |----------|-----|----------| | Satori | 2017 | Explora CVE-2017-17215 (Huawei) e CVE-2014-8361 - 280k em 12h | | Masuta / PureMasuta | 2018 | Explora D-Link HNAP (CVE EDB-38722) | | OMG | 2018 | Transforma bots em proxies HTTP/SOCKS via 3proxy | | Wicked | 2018 | Explora Netgear, CCTV-DVRs (portas 8080, 8443, 80, 81) | | Moobot | 2020 | Ativa em roteadores e cameras | | Gayfemboy | 2024 | Multiplas CVEs, sistemas globais | | Aisuru | 2024-2025 | 300k+ dispositivos, recorde 31,4 Tbps (fev/2026) | ## Relevância LATAM/Brasil O Brasil tem historico documentado como um dos principals paises-fonte de infeccoes Mirai. Na análise original de 2016 (USENIX Security/Google Research), Brasil, Colombia e Vietna responderam por **41,5% de todas as infeccoes**, com o Brasil liderando com 15% do total. Ataques a servidores Minecraft brasileiros hospedados na Psychz Networks foram alvos recorrentes de clusters Mirai. A Kaspersky identificou o Brasil entre os principals paises afetados por novas variantes Mirai em 2025. O ecossistema IoT brasileiro - com milhões de roteadores residenciais, cameras de segurança e DVRs sem atualizacoes de firmware e com credenciais padrao - e um vetor critico. Operadoras como Claro, Vivo e TIM possuem bases imensas de equipamentos CPE vulneraveis. O [[cert-br|CERT.br]] emitiu múltiplos alertas sobre infeccoes Mirai em redes brasileiras e a necessidade de gestao de credenciais em dispositivos IoT. > [!warning] Risco para ISPs brasileiros > Dispositivos CPE de clientes residenciais (roteadores, ONTs) com credenciais padrao sao o principal vetor de infecção. ISPs brasileiros devem implementar varredura proativa de seus ranges e notificação de assinantes sobre dispositivos comprometidos, conforme diretrizes do CERT.br. ## Detecção e Mitigação **Detecção de infecção ativa:** - Monitorar trafego de saida para portas TCP/23, TCP/2323 em escala anormal (indicador de varredura Mirai) - Alertas em sistemas IDS/IPS para padroes de brute-force Telnet - Análise de fluxo de rede (NetFlow/IPFIX) para detectar picos anomalos de trafego de saida - Identificar beaconing de bots Mirai via DNS para dominios C2 conhecidos **Mitigação:** - Alterar credenciais padrao de TODOS os dispositivos IoT imediatamente após instalacao - Desabilitar Telnet e SSH quando nao necessários; usar SSH com chave pública - Manter firmware atualizado em roteadores, cameras e DVRs - ISPs: implementar ACLs bloqueando TCP/23 e TCP/2323 entre clientes - Segmentar redes IoT em VLAN separada com acesso restrito a Internet ## Referências - [Cloudflare - Inside the infamous Mirai IoT Botnet: A Retrospective Analysis](https://blog.cloudflare.com/inside-mirai-the-infamous-iot-botnet-a-retrospective-analysis/) - [USENIX Security 2017 - Understanding the Mirai Botnet](https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-antonakakis.pdf) - [Wikipedia - Mirai (malware)](https://en.wikipedia.org/wiki/Mirai_(malware)) - [Unit 42 - IoT Under Siege: Mirai Campaign 2023](https://unit42.paloaltonetworks.com/mirai-variant-targets-iot-exploits/) - [Kaspersky - New Mirai Botnet Version 2025](https://me-en.kaspersky.com/about/press-releases/kaspersky-discovers-multiple-iot-devices-targeted-with-a-new-mirai-botnet-version) - [CERT.br - Alertas Mirai](https://www.cert.br/)