Técnica de caracterização do tráfego atribuível à botnet Mirai no dataset do Telescópio de Nuvem

Abstract

Telescópios de rede propiciam uma forma única para observação do tráfego da radiação de fundo da internet, que compreende diversos tipos de atividades maliciosas como propagação de malware, ataques de negação de serviço alavancados por botnets, varredura realizada para reconhecimento de rede, dentre outros. A identificação e análise destas atividades permitem a aquisição de conhecimentos que podem ser utilizados para prevenir ou mitigar ameaças cibernéticas. Nesse contexto, o presente trabalho apresenta o desenvolvimento e aplicação de uma técnica para levantar informações sobre os dispositivos utilizados pela atividade da botnet Mirai, através da análise de uma amostra de tráfego da radiação de fundo da internet, coletada por um Telescópio de Nuvem em sua versão interativa. A partir do tráfego oriundo da botnet Mirai, foi feito um enriquecimento dos dados em relação a informações de geolocalização a nível de país sobre os hosts emissores, obtidas através da base de Open Source Intelligence MaxMind GeoLite. Com o resultado deste trabalho, por exemplo, a detecção de 290 mil dispositivos infectados, os quais emitiram 16,4 milhões de varreduras e a população média diária de bots estimada em cerca de 17 mil, foi possível expandir os conhecimentos acerca de dispositivos vulneráveis que vêm sendo infectados por botnets e utilizados para propagar atividades maliciosas, assim contribuindo com o aprimoramento da segurança que envolve os mesmos.

Network telescopes provide a unique way to observe Internet Background Radiation traffic, which includes various types of malicious activities such as malware propagation, denial-ofservice attacks leveraged by botnets, network reconnaissance scans, and more. Identifying and analyzing these activities enables the acquisition of knowledge that can be used to prevent or mitigate cyber threats. In this context, the present study introduces the development and application of a technique to gather information about the devices involved in Mirai botnet activity by analyzing a sample of background radiation traffic collected through a cloud telescope in its interactive version. From the traffic originating from the Mirai botnet, data enrichment was performed using country-level geolocation information on emitting hosts, obtained through the Open Source Intelligence database MaxMind GeoLite. As a result of this study, such as the detection of 290,000 infected devices, which generated 16.4 million scans, and an estimated daily bot population of around 17,000, it was possible to expand knowledge about vulnerable devices being infected by botnets and used to propagate malicious activities. This contributes to improving security measures related to these devices.