Mirai iskee takaisin

Lukuaika: 4 pöytäkirja

Tarvittiin vain yksi haittaohjelma muoto botnet, joka jätti verkkotunnukseen perustuvan internetin pääsyn monille Yhdysvaltojen itärannikolla ja Euroopassa 21. lokakuuta 2016. Se oli Yhdysvaltain historian suurin Internetin katkoksia aiheuttanut kyberhyökkäys. Vietämme pahamaineisen Mirai-botnetin toista vuosipäivää.

Bottiverkko on, kun monet tietokoneet saastuttavat zombi-haittaohjelmista, mikä mahdollistaa keskuspalvelimen hallinnan, jotta ne voivat suorittaa tietohyökkäyksiä kollektiivisella laskentatehollaan ja kaistanleveydellä. Ne ovat suosittu tapa suorittaa hajautettu palvelun epääminen (DDoS) hyökkäykset joka voi poistaa kaikenlaisia ​​erityyppisiä verkkolaitteita ja Internet-palvelimia. Palvelunestohyökkäykset otetaan käyttöön ylikuormittamalla verkkokohde paketeilla, kunnes sen muistipuskuri on täynnä kapasiteettia ja se pakotetaan sammuttamaan. Hajautettu osa tarkoittaa, että monet tietokoneet on koordinoitu suorittamaan palvelunestohyökkäykset.

Mirai haki Internetistä IoT-laitteita (Internet of Things) Telnet-portin kautta. Jos laitteella olisi avoin Telnet-portti, Mirai-haittaohjelma yrittäisi 61 tunnetun käyttäjänimen ja salasanan yhdistelmän yhdistelmä löytääkseen sellaisen, joka sallii sen todentaa haitallisesti. Jos yksi yhdistelmä toimi, laite lisättiin massiiviseen ja kasvavaan Mirai-bottiverkkoon. Suurin osa Mirai-haittaohjelmien tartuttamista laitteista oli internetyhteydessä olevia suljettuja televisiokameroita ja reitittimiä.

Ensimmäinen merkittävä Internet-palvelinhyökkäys, jonka Mirai-bottiverkko kohdisti OVH, ranskalainen pilvipalvelujen tarjoaja. Kaksi DDoS-hyökkäystä, joiden kaistanleveys oli jopa 799Gbps, vievät joitain OVH-isännöimäjä Minecraft-palvelimia. Siihen mennessä bottiverkko koostui 145,607 XNUMX laitteesta.

Comodon haittaohjelmatutkija Venkat Ramanan on seurannut Mirai-bottiverkkoa löytöstään asti. ”Mirai-bottiverkon ensimmäinen tapaus havaittiin elokuussa 2016. Saman vuoden aikana havaittiin miljoonia Internet-laitehyökkäyksiä. Mirai-tietoverkkorikollisten ryhmä latasi Mirai-lähdekoodin Githubiin lokakuussa 2016. ”

Mirai-bottiverkko osui 21. lokakuuta 2016 DNS-palvelimien Dyn-verkkoon. DNS-palvelimet ratkaisevat verkkotunnukset (kuten google.com) IP-osoitteiksi (kuten 8.8.8.8), jotta ihmisten ei tarvitse muistaa näitä IP-osoitteita voidakseen käyttää Internet-palveluita. Dyn on laajalti käytetty DNS-palveluntarjoaja, joten heidän seisokkiensa takia verkkotunnuspohjainen Internet-käyttö on saavuttamatta monille ihmisille. Dyn julkaisi analyysin hyökkäyksestä heidän tapausvasteensa jälkeen:

”Perjantaina 21. lokakuuta 2016 noin 11:10 UTC - 13:20 UTC ja sitten taas klo 15:50 UTC - 17:00 UTC, Dyn joutui kahden suuren ja monimutkaisen hajautetun palvelunestohyökkäyksen (DDoS) hyökkäyksen kimppuun. ylläpitämämme DNS-infrastruktuurimme. Dynin Engineering and Operations -tiimit lievittivät näitä hyökkäyksiä onnistuneesti, mutta ennen kuin asiakkaamme ja heidän loppukäyttäjänsä tunsivat merkittävän vaikutuksen.

Ensimmäinen hyökkäys alkoi noin kello 11:10 UTC perjantaina 21. lokakuuta 2016. Aloimme nähdä kohonneen kaistanleveyden hallinnassa olevaa DNS-alustaa vastaan ​​Aasian ja Tyynenmeren alueella, Etelä-Amerikassa, Itä-Euroopassa ja Yhdysvaltojen länsialueilla, jotka esittelivät tavallisesti assosioituneella tavalla kanssa DDoS hyökkäys...

Tämä hyökkäys on avannut tärkeän keskustelun Internet-turvallisuudesta ja epävakaudesta. Sen lisäksi, että se on tuonut esiin esineiden Internetin (IoT) laitteiden turvallisuuden haavoittuvuudet, joihin on puututtava, se on myös herättänyt lisää keskustelua Internetin infrastruktuuriyhteisössä Internetin tulevaisuudesta. Kuten aiemmin olemme, odotamme innolla osallistumista tähän vuoropuheluun. ”

Hyökkäys ei pelkästään kiinnittänyt huomiota siihen, kuinka haavoittuvat Internet-laitteet voivat olla, mutta se toimi myös erinomaisena muistutuksena muuttaa Internet-yhteyteen kytkettyjen laitteiden oletusasetuksia - etenkin käyttäjätunnuksia ja salasanoja!

No, Mirai on palannut ja huonompi kuin koskaan. Yksi haaste Internet-haittaohjelmien kehittämisessä on kuinka hyvin erilaiset Internet-laitteet ovat toisistaan. IoT-laitteissa on valtava monimuotoisuus, koska ne voivat ilmetä mitä tahansa teollisuuden ohjaimista lääkinnällisiin laitteisiin lasten leluista keittiölaitteisiin. He voivat käyttää monia erilaisia ​​käyttöjärjestelmiä ja sulautettuja ohjelmistoja, joten haittakoodi, joka voi hyödyntää tietyn laitteen haavoittuvuuksia, ei yleensä voi hyödyntää useimpia muita laitteita. Mutta Aboriginal Linux -projektin avulla uusin Mirai-haittaohjelma voi hyödyntää monenlaisia ​​Internet-laitteita. Haittaohjelmatutkija löysi sen luonnossa:

”Heinäkuun lopussa tapasin live-etäpalvelimen, joka isännöi useita haittaohjelmavaihtoehtoja, kukin tietylle alustalle. Kuten monet Mirai-tartunnat, se alkaa ampumalla komentotiedosto haavoittuvalle laitteelle. Tämä komentosarjasarja yrittää peräkkäin ladata ja suorittaa yksittäisiä suoritettavia tiedostoja yksi kerrallaan, kunnes löydetään nykyisen arkkitehtuurin mukainen binaari…

Vaikka tämä on samanlainen käyttäytyminen kuin Mirai-variantit, joita olemme tähän mennessä nähneet, mielenkiintoisen tekee siitä koottu binaari. Nämä variantit on luotu hyödyntämällä avoimen lähdekoodin hanketta nimeltään Aboriginal Linux, joka tekee ristitiedostoprosessista helpon, tehokkaan ja käytännössä vikaantumattoman. On huomattava, että tässä avoimen lähdekoodin projektissa ei ole mitään haitallista tai vikaa, haittaohjelmien kirjoittajat hyödyntävät jälleen laillisia työkaluja luomuksensa täydentämiseksi, tällä kertaa tehokkaalla ristikkokoistumisratkaisulla.

Kun otetaan huomioon, että olemassa oleva koodikanta yhdistetään tyylikkääseen ristikokoamiskehykseen, tuloksena olevat haittaohjelmavaihtoehdot ovat vankempia ja yhteensopivia useiden arkkitehtuurien ja laitteiden kanssa, joten se on suoritettavissa useille laitteille, kuten reitittimille, IP-kameroille, kytketyille laitteille, ja jopa Android-laitteet. ”

Jos sinulla on Internet-laitteita, jotka käyttävät Linux- tai Android-versiota ja haluat suojata tämän Mirai-version viimeisimmällä versiolla, tässä voit tehdä. Poista Telnet-kirjautumiset käytöstä, jos mahdollista, ja estä Telnet-portti kokonaan. Jos käytät oletus käyttäjänimiä ja salasanoja, vaihda ne! Poista yleinen Plug and Play (UpnP) käytöstä, jos mahdollista, ja ota langallinen Ethernet käyttöön WiFi-verkon sijasta, jos pystyt. Jos sinun on käytettävä langatonta verkkoyhteyttä, muodosta yhteys vain salattuun langattomaan verkkoon (WPA2 tai tuleva WPA3 on paras) ja hanki monimutkainen salasana langattomalle yhteyspisteellesi.

Liittyvät resurssit:

ALOITA ILMAINEN KOKEILU SAA VAKAA TURVALLISUUSKORTTI ILMAISEKSI

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://blog.comodo.com/comodo-news/mirai-strikes-back/