Mirai lööb vastu

Lugemisaeg: 4 protokoll

All it took was one malware to vorm a botnet that left the domain-based internet inaccessible to many on the eastern coast of the United States and in Europe on October 21st, 2016. It was the largest cyber attack to cause internet downtime in US history. We’re coming up on the second anniversary of the notorious Mirai botnet.

Botivõrk on olukord, kus paljud arvutid nakatuvad zombie-ründevaraga, mis võimaldab neid keskserveri abil juhtida, et korraldada küberrünnakuid oma kollektiivse arvutusvõimsuse ja ribalaiusega. Need on populaarne viis teenuse hajutatud keelamiseks (DDoS) rünnakud mis võib maha võtta igasuguseid erinevat tüüpi võrguseadmeid ja Interneti-servereid. Teenuse keelamise rünnakud käivitatakse võrgu sihtmärgi ülekoormamisel pakettidega, kuni selle mälupuhver on täitunud ja see on sunnitud välja lülituma. Jaotatud osa tähendab, et paljud arvutid on teenuse keelamise rünnaku läbiviimisel koordineeritud.

Mirai otsis Internetist Telneti pordi kaudu asjade Interneti (Internet of Things) seadmeid. Kui seadmel oleks avatud Telneti port, prooviks Mirai pahavara kombinatsioon 61 teadaolevast vaikekasutajanime ja parooli kombinatsioonist et leida üks, mis võimaldaks sellel pahatahtlikult autentida. Kui üks kombinatsioon töötas, lisati seade massiivsesse ja kasvavasse Mirai botnetti. Enamik Mirai pahavaraga nakatunud seadmeid olid Interneti-ühendusega suletud telerikaamerad ja ruuterid.

Esimene suurem Interneti-serveri rünnak, mille korraldas Mirai botnet OVH, Prantsusmaa pilveteenuste pakkuja. Kaks DDoS-i rünnakut ribalaiusega kuni 799 Gbps hävitasid mõned OVH hostitud Minecrafti serverid. Selleks ajaks koosnes botnet 145,607 XNUMX seadmest.

Comodo pahavara uurija Venkat Ramanan on Mirai botnetti jälginud selle avastamisest saadik. „Esimest Mirai botneti juhtumit märgati augustis 2016. Samal aastal registreeriti miljoneid asjade Interneti-seadmete rünnakuid. Mirai küberkuritegelik jõuk laadis Mirai lähtekoodi Githubisse 2016. aasta oktoobris.

21. oktoobril 2016 jõudis Mirai botnet DNS-serverite Dyn võrku. DNS-serverid lahendavad domeeninimed (nt google.com) IP-aadressideks (nt 8.8.8.8), nii et inimesed ei pea neid IP-aadresse Interneti-teenustele juurdepääsuks meeles pidama. Dyn on laialdaselt kasutatav DNS-i pakkuja, nii et nende seisakud muutsid domeenipõhise Interneti-kasutuse paljudele inimestele kättesaamatuks. Dyn avaldas rünnaku analüüsi pärast nende reageerimist juhtumile:

„Reedel, 21. oktoobril 2016 umbes kella 11-st kuni 10-ni UTC ja seejärel uuesti kella 13-st kuni kella 20-ni UTC, sattus Dyn kahe suure ja keerulise hajutatud teenusekeelu (DDoS) rünnaku alla. meie hallatud DNS-i infrastruktuur. Dyni inseneri- ja operatsioonimeeskonnad leevendasid neid rünnakuid edukalt, kuid mitte enne, kui meie kliendid ja nende lõppkasutajad said märkimisväärset mõju.

Esimene rünnak algas reedel, 11. oktoobril 10, umbes kell 21 UTC. Hakkasime nägema suuremat ribalaiust meie hallatava DNS-platvormi vastu Aasia Vaikse ookeani piirkonnas, Lõuna-Ameerikas, Ida-Euroopas ja USA-Lääne piirkondades, mis esitati tavapärasel viisil. koos DDoS rünnaku...

See rünnak on avanud olulise vestluse Interneti-turvalisuse ja volatiilsuse teemal. See mitte ainult ei toonud esile nn asjade Interneti (IoT) seadmete turvaauke, millega tuleb tegeleda, vaid on ka käivitanud Interneti-taristu kogukonnas edasise dialoogi Interneti tuleviku üle. Nagu varemgi, ootame huviga sellesse dialoogi panustamist.

Rünnak ei juhtinud tähelepanu mitte ainult sellele, kui haavatavad võivad IoT-seadmed olla, vaid see oli ka suurepärane meeldetuletus, et peate alati muutma Interneti-ühendusega seadmete vaikeseadeid, eriti kasutajanimesid ja paroole!

Nüüd on Mirai tagasi ja halvem kui kunagi varem. Üks IoT pahavara arendamise väljakutseid on see, kui väga erinevad IoT-seadmed üksteisest. Asjade Interneti-seadmetes on tohutu mitmekesisus, kuna need võivad ilmneda kõigest alates tööstuslikest kontrolleritest kuni meditsiiniseadmeteni, laste mänguasjadest kuni köögiseadmeteni. Need võivad käitada paljusid erinevaid operatsioonisüsteeme ja manustatud tarkvara, nii et pahatahtlik kood, mis võib kasutada ära ühe konkreetse seadme haavatavusi, ei saa tavaliselt kasutada enamikku teisi seadmeid. Kuid aborigeenide Linuxi projekti abil saab uusim Mirai pahavara ära kasutada paljusid IoT-seadmeid. Pahavarauurija avastas selle loodusest:

„Juuli lõpus puutusin kokku reaalajas kaugserveriga, mis majutas mitut pahavara varianti, igaüks konkreetse platvormi jaoks. Nagu paljude Mirai-nakkuste puhul, algab see haavatavas seadmes shelliskripti käivitamisega. See kestaskript proovib järjestikku alla laadida ja käivitada üksikuid täitmisfaile ükshaaval, kuni leitakse praeguse arhitektuuriga ühilduv binaar...

Kuigi see käitumine on sarnane Mirai variantidega, mida oleme seni näinud, teeb selle huvitavaks kompileeritud kahendfail. Need variandid on loodud avatud lähtekoodiga projekti Aboriginal Linux abil, mis muudab ristkompileerimise protsessi lihtsaks, tõhusaks ja praktiliselt tõrkekindlaks. Tuleb märkida, et selles avatud lähtekoodiga projektis pole midagi pahatahtlikku ega valesti, pahavara autorid kasutavad taas oma loomingu täiendamiseks legitiimseid tööriistu, seekord tõhusa ristkompileerimislahendusega.

Arvestades, et olemasolev koodibaas on kombineeritud elegantse ristkompileerimisraamistikuga, on saadud pahavara variandid tugevamad ja ühilduvad mitme arhitektuuri ja seadmega, muutes selle käivitatavaks paljudes seadmetes, alates ruuteritest, IP-kaameratest, ühendatud seadmetest, ja isegi Android-seadmed.

Kui teil on asjade Interneti-seadmeid, mis käitavad Linuxi või Androidi versiooni, ja soovite selle Mirai uusima versiooni vastu tugevdada turvalisust, saate teha järgmist. Võimalusel keelake Telneti sisselogimised ja blokeerige Telneti port täielikult. Kui kasutate vaikimisi kasutajanimesid ja paroole, muutke neid! Võimaluse korral keelake Universal Plug and Play (UpnP) ja kasutage WiFi asemel juhtmega Etherneti, kui saate. Kui teil on vaja WiFi-ühendust kasutada, looge ühendus ainult krüptitud WiFi-ga (parim on WPA2 või tulevane WPA3) ja omage traadita pääsupunkti jaoks keerukat parooli.

Seotud ressurss:

ALUSTA TASUTA KATSET HANKIGE TASUTA OMA INSTANT TURVAKARTI

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://blog.comodo.com/comodo-news/mirai-strikes-back/