Mirai slaat terug

Heruitgegeven door Plato

volgers: 0

WordPress Roulette Leestijd: 4 minuten

Mirai slaat toe

Het enige dat nodig was, was één malware formulier een botnet dat op 21 oktober 2016 het domeingebaseerde internet ontoegankelijk maakte voor velen aan de oostkust van de Verenigde Staten en in Europa. Het was de grootste cyberaanval die internetuitval in de geschiedenis van de VS veroorzaakte. We naderen de tweede verjaardag van het beruchte Mirai-botnet.

Een botnet is wanneer veel computers worden geïnfecteerd met zombie-malware, waardoor ze kunnen worden bestuurd door een centrale server om cyberaanvallen uit te voeren met hun collectieve rekenkracht en bandbreedte. Ze zijn een populaire manier om gedistribueerde denial of service uit te voeren (DDoS) -aanvallen die allerlei verschillende soorten netwerkapparatuur en internetservers kunnen verwijderen. Denial of service-aanvallen worden ingezet door een netwerkdoel met pakketten te overweldigen totdat de geheugenbuffer over de capaciteit is gevuld en wordt gedwongen te stoppen. Het gedistribueerde deel impliceert dat veel computers zijn gecoördineerd bij het uitvoeren van een denial of service-aanval.

Mirai zocht op internet naar IoT-apparaten (Internet of Things) via de Telnet-poort. Als een apparaat een open Telnet-poort had, zou de Mirai-malware het proberen een combinatie van 61 bekende standaard gebruikersnaam- en wachtwoordcombinaties om er een te vinden waarmee het kwaadwillig kan worden geverifieerd. Als één combinatie werkte, werd het apparaat toegevoegd aan het enorme en groeiende Mirai-botnet. De meeste door Mirai-malware geïnfecteerde apparaten waren op internet aangesloten tv-camera's en routers met gesloten circuit.

De eerste grote aanval op de internetserver, uitgevoerd door het Mirai-botnet, was gericht OVH, een Franse cloudserviceprovider. Twee DDoS-aanvallen met een bandbreedte tot 799 Gbps hebben sommige door OVH gehoste Minecraft-servers uitgeschakeld. Het botnet bestond toen uit 145,607 apparaten.

Comodo-malwareonderzoeker Venkat Ramanan kijkt sinds zijn ontdekking naar het Mirai-botnet. “Het eerste incident van het Mirai-botnet werd opgemerkt in augustus 2016. In hetzelfde jaar werden miljoenen IoT-apparaataanvallen opgemerkt. De cybercriminele bende van Mirai heeft de broncode van Mirai in oktober 2016 op Github geüpload. ”

Op 21 oktober 2016 bereikte het Mirai-botnet het Dyn-netwerk van DNS-servers. DNS-servers zetten domeinnamen (zoals google.com) om in IP-adressen (zoals 8.8.8.8), zodat mensen die IP-adressen niet hoeven te onthouden om toegang te krijgen tot internetdiensten. Dyn is een veel gebruikte DNS-provider, waardoor hun downtime het domeingebaseerde internetgebruik voor veel mensen ontoegankelijk maakte. Dyn heeft hun analyse van de aanval vrijgegeven na hun reactie op een incident:

“Op vrijdag 21 oktober 2016 van ongeveer 11:10 UTC tot 13:20 UTC en vervolgens weer van 15:50 UTC tot 17:00 UTC, werd Dyn aangevallen door twee grote en complexe Distributed Denial of Service (DDoS) -aanvallen tegen onze Managed DNS-infrastructuur. Deze aanvallen zijn met succes tegengegaan door de Engineering- en Operations-teams van Dyn, maar niet voordat onze klanten en hun eindgebruikers een aanzienlijke impact voelden.

De eerste aanval begon op vrijdag 11 oktober 10 rond 21:2016 UTC. We begonnen verhoogde bandbreedte te zien ten opzichte van ons Managed DNS-platform in de regio's Azië-Pacific, Zuid-Amerika, Oost-Europa en de VS en het Westen, op een manier die typisch geassocieerd werd met met een DDoS-aanval...

Deze aanval heeft een belangrijk gesprek op gang gebracht over internetbeveiliging en volatiliteit. Het heeft niet alleen de kwetsbaarheden in de beveiliging van 'Internet of Things'-apparaten (IoT) benadrukt die moeten worden aangepakt, maar het heeft ook geleid tot een verdere dialoog in de internetinfrastructuurgemeenschap over de toekomst van het internet. Zoals we in het verleden hebben gedaan, kijken we ernaar uit om bij te dragen aan die dialoog. ”

De aanval vestigde niet alleen de aandacht op hoe kwetsbaar IoT-apparaten kunnen zijn, maar diende ook als een uitstekende herinnering om altijd de standaardinstellingen op uw met internet verbonden apparaten te wijzigen, vooral gebruikersnamen en wachtwoorden!

Nu, Mirai is terug en slechter dan ooit. Een van de uitdagingen bij het ontwikkelen van IoT-malware is hoe sterk verschillende IoT-apparaten van elkaar verschillen. Er is een enorme diversiteit aan IoT-apparaten omdat ze zich kunnen manifesteren als van alles, van industriële controllers tot medische apparaten, van kinderspeelgoed tot keukenapparatuur. Ze kunnen een groot aantal verschillende besturingssystemen en embedded software gebruiken, dus schadelijke code die de kwetsbaarheden op een bepaald apparaat kan misbruiken, kan meestal niet de meeste andere apparaten misbruiken. Maar met behulp van het Aboriginal Linux-project kan de nieuwste Mirai-malware een breed scala aan IoT-apparaten misbruiken. Een malware-onderzoeker ontdekte het in het wild:

“Eind juli kwam ik een live externe server tegen die meerdere malwarevarianten host, elk voor een specifiek platform. Zoals bij veel Mirai-infecties, begint het met het activeren van een shellscript op een kwetsbaar apparaat. Dat shellscript probeert achtereenvolgens individuele uitvoerbare bestanden één voor één te downloaden en uit te voeren totdat een binair bestand wordt gevonden dat voldoet aan de huidige architectuur ...

Hoewel dit vergelijkbaar is met de Mirai-varianten die we tot nu toe hebben gezien, is het gecompileerde binaire bestand interessant. Deze varianten zijn gemaakt door gebruik te maken van een open-sourceproject genaamd Aboriginal Linux dat het proces van cross-compilatie eenvoudig, effectief en praktisch faalbestendig maakt. Opgemerkt moet worden dat er niets kwaadaardigs of mis is aan dit open-sourceproject, de malwareschrijvers maken opnieuw gebruik van legitieme tools om hun creaties aan te vullen, dit keer met een effectieve cross-compilatie-oplossing.

Aangezien de bestaande codebasis wordt gecombineerd met een elegant cross-compilatieframework, zijn de resulterende malwarevarianten robuuster en compatibel met meerdere architecturen en apparaten, waardoor ze uitvoerbaar zijn op een breed scala aan apparaten, variërend van routers, IP-camera's, aangesloten apparaten, en zelfs Android-apparaten. "

Als je IoT-apparaten hebt met een versie van Linux of Android en je wilt beveiliging tegen deze nieuwste versie van Mirai, dan kun je het volgende doen. Schakel indien mogelijk Telnet-aanmeldingen uit en blokkeer de Telnet-poort helemaal. Als je standaard gebruikersnamen en wachtwoorden gebruikt, verander ze dan! Schakel Universal Plug and Play (UpnP) uit als je kunt, en gebruik bedraad Ethernet in plaats van wifi als je kunt. Als je wifi wilt gebruiken, maak dan alleen verbinding met versleutelde wifi (WPA2 of de aankomende WPA3 is het beste) en heb een complex wachtwoord voor je draadloze toegangspunt.

Gerelateerde bron:

START GRATIS VERZOEK KRIJG GRATIS UW DIRECTE BEVEILIGINGSSCOREKAART