Ο Μιράι χτυπά πίσω

Χρόνος διαβασματός: 4 πρακτικά

Το μόνο που χρειάστηκε ήταν ένα κακόβουλο λογισμικό μορφή ένα botnet που άφησε το Διαδίκτυο βασισμένο σε domain απρόσιτο σε πολλούς στην ανατολική ακτή των Ηνωμένων Πολιτειών και στην Ευρώπη στις 21 Οκτωβρίου 2016. Ήταν η μεγαλύτερη επίθεση στον κυβερνοχώρο που προκάλεσε διακοπή του Διαδικτύου στην ιστορία των ΗΠΑ. Πλησιάζουμε στη δεύτερη επέτειο του διαβόητου botnet Mirai.

Ένα botnet είναι όταν πολλοί υπολογιστές μολύνονται με κακόβουλο λογισμικό zombie, το οποίο τους επιτρέπει να ελέγχονται από έναν κεντρικό διακομιστή προκειμένου να πραγματοποιούν επιθέσεις στον κυβερνοχώρο με τη συλλογική τους δύναμη και εύρος ζώνης. Είναι ένας δημοφιλής τρόπος διεξαγωγής κατανεμημένης άρνησης υπηρεσίας (DDoS) επιθέσεις που μπορεί να καταργήσει όλα τα είδη διαφορετικών τύπων συσκευών δικτύωσης και διακομιστών Διαδικτύου. Οι επιθέσεις άρνησης υπηρεσίας αναπτύσσονται κατακλύζοντας έναν στόχο δικτύου με πακέτα έως ότου το buffer μνήμης γεμίσει λόγω χωρητικότητας και αναγκάζεται να τερματιστεί. Το κατανεμημένο μέρος συνεπάγεται ότι πολλοί υπολογιστές συντονίζονται κατά τη διεξαγωγή μιας επίθεσης άρνησης υπηρεσίας.

Ο Mirai έψαξε στο Διαδίκτυο για συσκευές IoT (Internet of Things) μέσω της θύρας Telnet. Εάν μια συσκευή είχε ανοιχτή θύρα Telnet, το κακόβουλο λογισμικό Mirai θα προσπαθούσε ένας συνδυασμός 61 γνωστών προεπιλεγμένων συνδυασμών ονόματος χρήστη και κωδικού πρόσβασης για να βρείτε ένα που θα του επέτρεπε τον έλεγχο ταυτότητας κακόβουλα. Εάν λειτουργούσε ένας συνδυασμός, η συσκευή προστέθηκε στο τεράστιο και αναπτυσσόμενο botnet Mirai. Οι περισσότερες από τις συσκευές που έχουν μολυνθεί από κακόβουλο λογισμικό Mirai ήταν κάμερες και δρομολογητές τηλεόρασης κλειστού κυκλώματος συνδεδεμένες στο Διαδίκτυο.

Η πρώτη σημαντική επίθεση διακομιστή Διαδικτύου που πραγματοποιήθηκε από το Mirai botnet στοχεύει OVH, ένας γαλλικός πάροχος υπηρεσιών cloud. Δύο επιθέσεις DDoS με εύρος ζώνης έως 799Gbps ​​κατέρρευσαν ορισμένους διακομιστές Minecraft που φιλοξενούνται από το OVH. Μέχρι τότε, το botnet αποτελούνταν από 145,607 συσκευές.

Ο ερευνητής του Comodo malware Venkat Ramanan παρακολουθεί το botnet Mirai από την ανακάλυψή του. "Το πρώτο περιστατικό του botnet Mirai εντοπίστηκε τον Αύγουστο του 2016. Εκατομμύρια επιθέσεις συσκευών IoT σημειώθηκαν κατά τη διάρκεια του ίδιου έτους. Η εγκληματική συμμορία του Mirai ανέβασε τον πηγαίο κώδικα του Mirai στο Github τον Οκτώβριο του 2016. "

Στις 21 Οκτωβρίου 2016, το botnet Mirai έπληξε το δίκτυο Dyn των διακομιστών DNS. Οι διακομιστές DNS επιλύουν ονόματα τομέα (όπως google.com) σε διευθύνσεις IP (όπως 8.8.8.8), έτσι ώστε τα ανθρώπινα όντα να μην χρειάζεται να θυμούνται αυτές τις διευθύνσεις IP για να έχουν πρόσβαση σε υπηρεσίες διαδικτύου. Το Dyn είναι ένας ευρέως χρησιμοποιούμενος πάροχος DNS, οπότε η χρήση του διαδικτύου που βασίζεται σε τομέα εκτός λειτουργίας δεν έχει πρόσβαση σε πολλά άτομα. Ο Ντιν κυκλοφόρησε την ανάλυσή τους για την επίθεση μετά την απάντησή τους στο συμβάν:

«Την Παρασκευή 21 Οκτωβρίου 2016 από περίπου 11:10 UTC έως 13:20 UTC και στη συνέχεια και πάλι από τις 15:50 UTC έως τις 17:00 UTC, η Dyn δέχθηκε επίθεση από δύο μεγάλες και περίπλοκες επιθέσεις Distributed Denial of Service (DDoS) εναντίον την υποδομή Διαχειριζόμενου DNS. Αυτές οι επιθέσεις μετριάστηκαν με επιτυχία από τις ομάδες Μηχανικών και Λειτουργιών της Dyn, αλλά όχι πριν από αισθητές επιπτώσεις από τους πελάτες μας και τους τελικούς χρήστες τους.

Η πρώτη επίθεση ξεκίνησε περίπου στις 11:10 UTC την Παρασκευή 21 Οκτωβρίου 2016. Αρχίσαμε να βλέπουμε αυξημένο εύρος ζώνης έναντι της πλατφόρμας Managed DNS στις περιοχές της Ασίας-Ειρηνικού, της Νότιας Αμερικής, της Ανατολικής Ευρώπης και των ΗΠΑ-Δυτικών που παρουσιάζονται με τρόπο που συνήθως σχετίζεται με DDoS επίθεση...

Αυτή η επίθεση άνοιξε μια σημαντική συζήτηση σχετικά με την ασφάλεια και την αστάθεια του Διαδικτύου. Όχι μόνο έχει επισημάνει τις ευπάθειες στην ασφάλεια των συσκευών «Ίντερνετ των πραγμάτων» (IoT) που πρέπει να αντιμετωπιστούν, αλλά έχει επίσης πυροδοτήσει περαιτέρω διάλογο στην κοινότητα υποδομών του Διαδικτύου για το μέλλον του Διαδικτύου. Όπως έχουμε στο παρελθόν, ανυπομονούμε να συμβάλουμε σε αυτόν τον διάλογο. "

Η επίθεση όχι μόνο έφερε την προσοχή στο πόσο ευάλωτες είναι οι συσκευές IoT, αλλά χρησίμευσε επίσης ως μια εξαιρετική υπενθύμιση για να αλλάζετε πάντα τις προεπιλεγμένες ρυθμίσεις στις συνδεδεμένες στο Διαδίκτυο συσκευές σας - ειδικά ονόματα χρηστών και κωδικούς πρόσβασης!

Λοιπόν τώρα, ο Μιράι επέστρεψε και άσχημα από ποτέ. Μία από τις προκλήσεις της ανάπτυξης κακόβουλου λογισμικού IoT είναι το πόσο πολύ διαφορετικές συσκευές IoT είναι μεταξύ τους. Υπάρχει τεράστια ποικιλία στις συσκευές IoT, διότι μπορούν να εκδηλωθούν ως οτιδήποτε από βιομηχανικούς ελεγκτές έως ιατρικές συσκευές, από παιδικά παιχνίδια έως συσκευές κουζίνας. Μπορούν να εκτελέσουν πλήθος διαφορετικών λειτουργικών συστημάτων και ενσωματωμένου λογισμικού, οπότε κακόβουλος κώδικας που μπορεί να εκμεταλλευτεί τις ευπάθειες σε μια συγκεκριμένη συσκευή δεν μπορεί συνήθως να εκμεταλλευτεί τις περισσότερες άλλες συσκευές. Αλλά με τη βοήθεια του προγράμματος Aboriginal Linux, το τελευταίο κακόβουλο λογισμικό Mirai μπορεί να εκμεταλλευτεί ένα ευρύ φάσμα συσκευών IoT. Ένας ερευνητής κακόβουλου λογισμικού το ανακάλυψε στη φύση:

«Στα τέλη Ιουλίου, συνάντησα έναν ζωντανό απομακρυσμένο διακομιστή που φιλοξενεί πολλές παραλλαγές κακόβουλου λογισμικού, καθεμία για μια συγκεκριμένη πλατφόρμα. Όπως συμβαίνει με πολλές μολύνσεις Mirai, ξεκινά με την ενεργοποίηση ενός σεναρίου κελύφους σε μια ευάλωτη συσκευή. Αυτό το σενάριο κελύφους προσπαθεί διαδοχικά να κατεβάζει και να εκτελεί μεμονωμένα εκτελέσιμα ένα προς ένα έως ότου βρεθεί ένα δυαδικό συμβατό με την τρέχουσα αρχιτεκτονική…

Αν και αυτή είναι παρόμοια συμπεριφορά με τις παραλλαγές Mirai που έχουμε δει μέχρι στιγμής, αυτό που το κάνει ενδιαφέρον είναι το μεταγλωττισμένο δυαδικό. Αυτές οι παραλλαγές έχουν δημιουργηθεί αξιοποιώντας ένα έργο ανοιχτού κώδικα που ονομάζεται Aboriginal Linux που καθιστά τη διαδικασία της διασταυρούμενης σύνταξης εύκολη, αποτελεσματική και πρακτικά αδιάβροχη. Θα πρέπει να σημειωθεί ότι δεν υπάρχει τίποτα κακόβουλο ή λάθος με αυτό το έργο ανοιχτού κώδικα, οι συγγραφείς κακόβουλου λογισμικού αξιοποιούν για άλλη μια φορά νόμιμα εργαλεία για να συμπληρώσουν τις δημιουργίες τους, αυτή τη φορά με μια αποτελεσματική λύση cross compilation.

Δεδομένου ότι η υπάρχουσα βάση κώδικα συνδυάζεται με ένα κομψό πλαίσιο cross-compilation, οι παραλλαγές κακόβουλου λογισμικού που προκύπτουν είναι πιο στιβαρές και συμβατές με πολλές αρχιτεκτονικές και συσκευές, καθιστώντας την εκτελέσιμη σε μια μεγάλη ποικιλία συσκευών που κυμαίνονται από δρομολογητές, κάμερες IP, συνδεδεμένες συσκευές, και ακόμη και συσκευές Android. "

Εάν διαθέτετε συσκευές IoT που εκτελούν μια έκδοση Linux ή Android και θέλετε να προστατέψετε την ασφάλεια έναντι αυτής της τελευταίας έκδοσης του Mirai, δείτε τι μπορείτε να κάνετε. Απενεργοποιήστε τις συνδέσεις Telnet εάν είναι δυνατόν και αποκλείστε εντελώς τη θύρα Telnet. Εάν χρησιμοποιείτε προεπιλεγμένα ονόματα χρήστη και κωδικούς πρόσβασης, αλλάξτε τα! Απενεργοποιήστε το Universal Plug and Play (UpnP) αν μπορείτε και αναπτύξτε ενσύρματο Ethernet αντί του WiFi εάν μπορείτε. Εάν πρέπει να χρησιμοποιήσετε WiFi, συνδεθείτε μόνο με κρυπτογραφημένο WiFi (το WPA2 ή το επερχόμενο WPA3 είναι καλύτερο) και έχετε έναν σύνθετο κωδικό πρόσβασης για το σημείο ασύρματης πρόσβασης.

Σχετικός πόρος:

Αρχίστε την Δωρεάν σας δοκιμή ΔΩΡΕΑΝ ΑΚΡΙΒΩΣ ΑΚΡΙΒΕΙΑ ΣΑΣ ΑΣΦΑΛΕΙΑΣ

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://blog.comodo.com/comodo-news/mirai-strikes-back/