Mirai visszavág

Mirai visszavág

Időbélyeg: 18. szeptember 2018. 2:28

WordPress rulett Olvasási idő: 4 jegyzőkönyv

Mirai lecsap

Csak egy rosszindulatú program kellett hozzá forma egy botnet, amely 21. október 2016-én sokak számára elérhetetlenné tette a domain alapú internetet az Egyesült Államok keleti partvidékén és Európában. Ez volt az Egyesült Államok történetének legnagyobb internetleállást okozó kibertámadása. A hírhedt Mirai botnet második évfordulójához közeledünk.

A botnet az, amikor sok számítógép megfertőződik zombi malware-rel, amely lehetővé teszi, hogy egy központi szerver irányítsa őket, hogy kollektív számítási teljesítményükkel és sávszélességükkel kibertámadásokat hajtsanak végre. Ezek az elosztott szolgáltatásmegtagadások népszerű módjai (DDoS) támadások amely mindenféle hálózati eszközt és internetes szervert képes leszedni. A szolgáltatásmegtagadási támadásokat úgy hajtják végre, hogy a hálózati célpontot csomagokkal túlterhelik, amíg a memóriapuffer meg nem telik a kapacitáson, és kénytelen leállni. Az elosztott rész azt jelenti, hogy sok számítógép összehangolt szolgáltatásmegtagadási támadást hajt végre.

A Mirai a Telnet porton keresztül IoT (Internet of Things) eszközöket keresett az interneten. Ha egy eszköznek nyitott Telnet portja volt, a Mirai kártevő megpróbálja 61 ismert alapértelmezett felhasználónév és jelszó kombináció kombinációja annak érdekében, hogy megtalálja azt, amely lehetővé teszi a rosszindulatú hitelesítést. Ha az egyik kombináció működött, az eszközt hozzáadták a hatalmas és növekvő Mirai botnethez. A Mirai kártevővel megfertőzött eszközök többsége internetre csatlakoztatott zárt láncú tévékamera és útválasztó volt.

A Mirai botnet által végrehajtott első jelentős internetes szervertámadás a cél Az OVH francia felhőszolgáltató. Két, akár 799 Gbps sávszélességű DDoS támadás lerobbant néhány OVH által üzemeltetett Minecraft szervert. Addigra a botnet 145,607 XNUMX eszközből állt.

A Comodo malware-kutatója, Venkat Ramanan felfedezése óta figyeli a Mirai botnetet. „A Mirai botnet első incidensét 2016 augusztusában észlelték. Ugyanebben az évben több millió IoT-eszköz támadást észleltek. Mirai számítógépes bűnbandája 2016 októberében töltötte fel Mirai forráskódját a Githubra.”

21. október 2016-én a Mirai botnet elérte a DNS-kiszolgálók Dyn hálózatát. A DNS-szerverek a domain neveket (például google.com) IP-címekké (például 8.8.8.8) oldják fel, így az embereknek nem kell emlékezniük ezekre az IP-címekre az internetes szolgáltatások eléréséhez. A Dyn egy széles körben használt DNS-szolgáltató, így az állásidő miatt sok ember számára elérhetetlenné vált a domain alapú internethasználat. Dyn közzétette a támadásról készített elemzését az esetre adott válaszuk után:

„21. október 2016-én, pénteken 11:10 UTC és 13:20 UTC között, majd 15:50 UTC és 17:00 UTC között a Dyn két nagy és összetett elosztott szolgáltatásmegtagadási (DDoS) támadás érte. Felügyelt DNS-infrastruktúránk. Ezeket a támadásokat a Dyn mérnöki és üzemeltetési csapatai sikeresen mérsékelték, de nem azelőtt, hogy jelentős hatást éreztek volna ügyfeleink és végfelhasználóik.

Az első támadás 11. október 10-én, pénteken 21:2016 UTC körül kezdődött. Megnövekedett sávszélességet tapasztaltunk a menedzselt DNS-platformunkkal szemben az ázsiai és csendes-óceáni térségben, Dél-Amerikában, Kelet-Európában és az Egyesült Államok-nyugati régiókban, amelyek a jellemzően kapcsolódó módon jelennek meg. val,-vel DDoS támadás...

Ez a támadás fontos beszélgetést nyitott az internet biztonságáról és volatilitásáról. Nemcsak az „Internet of Things” (IoT) eszközök biztonsági réseit emelte ki, amelyeket orvosolni kell, hanem további párbeszédet is elindított az internetes infrastruktúra közösségében az internet jövőjéről. Ahogyan a múltban is, most is alig várjuk, hogy hozzájárulhassunk ehhez a párbeszédhez.”

A támadás nemcsak arra hívta fel a figyelmet, hogy mennyire sérülékenyek lehetnek az IoT-eszközök, hanem kiváló emlékeztetőül is szolgált, hogy mindig módosítsa az internetre csatlakoztatott eszközök alapértelmezett beállításait – különösen a felhasználóneveket és jelszavakat!

Nos, Mirai visszatért, és rosszabb, mint valaha. Az IoT kártevők fejlesztésének egyik kihívása az, hogy az IoT-eszközök mennyire különböznek egymástól. Az IoT-eszközök óriási változatosságot mutatnak, mivel az ipari vezérlőktől az orvosi eszközökig, a gyermekjátékoktól a konyhai berendezésekig bármiben megjelenhetnek. Számos különböző operációs rendszert és beágyazott szoftvert futtathatnak, így az egy adott eszköz biztonsági rését kihasználó rosszindulatú kódok általában nem tudják kihasználni a legtöbb eszközt. Ám az Aboriginal Linux projekt segítségével a legújabb Mirai kártevő az IoT-eszközök széles skáláját képes kihasználni. Egy rosszindulatú programkutató felfedezte a vadonban:

„Július végén egy élő távoli szerverre bukkantam, amely több rosszindulatú programváltozatot tartalmazott, mindegyik egy adott platformhoz. Mint sok Mirai-fertőzés, ez is egy shell-szkript elindításával kezdődik egy sebezhető eszközön. Ez a shell szkript szekvenciálisan megpróbálja letölteni és végrehajtani az egyes végrehajtható fájlokat egyenként, amíg meg nem talál egy, az aktuális architektúrával kompatibilis bináris fájlt…

Bár ez a viselkedés hasonló az eddig látott Mirai-változatokhoz, érdekessége a lefordított bináris. Ezeket a változatokat az Aboriginal Linux nevű nyílt forráskódú projekt felhasználásával hozták létre, amely megkönnyíti, hatékony és gyakorlatilag hibabiztossá teszi a keresztfordítás folyamatát. Meg kell jegyezni, hogy ebben a nyílt forráskódú projektben nincs semmi rosszindulatú vagy rossz, a kártevők szerzői ismét legitim eszközökkel egészítik ki alkotásaikat, ezúttal egy hatékony keresztfordítási megoldással.

Tekintettel arra, hogy a meglévő kódbázis egy elegáns kereszt-fordítási keretrendszerrel van kombinálva, az eredményül kapott malware-változatok robusztusabbak és több architektúrával és eszközzel kompatibilisek, így számos eszközön végrehajthatók, kezdve a routerektől, IP-kameráktól, csatlakoztatott eszközökig, és még Android készülékek is.”

Ha olyan IoT-eszközei vannak, amelyek Linux vagy Android verzióját futtatják, és meg akarja erősíteni a biztonságot a Mirai legújabb verziójával szemben, a következőket teheti. Ha lehetséges, tiltsa le a Telnet bejelentkezéseket, és teljesen blokkolja a Telnet portot. Ha alapértelmezett felhasználóneveket és jelszavakat használ, módosítsa azokat! Ha teheti, kapcsolja ki az Univerzális Plug and Play (UpnP) funkciót, és ha tudja, Wi-Fi helyett telepítse a vezetékes Ethernetet. Ha WiFi-t szeretne használni, csak titkosított WiFi-hez csatlakozzon (a WPA2 vagy a közelgő WPA3 a legjobb), és rendelkezzen összetett jelszóval a vezeték nélküli hozzáférési ponthoz.

Kapcsolódó forrás:

INGYENES PRÓBA INDÍTÁSA INGYEN SZEREZZE MEG AZONNALI BIZTONSÁGI EREDMÉNYKÁRTYÁT

Időbélyeg:

Még több CyberSecurity Comodo