Mirai slår tilbake

Lesetid: 4 minutter

Alt som skulle til var én malware skjema et botnett som gjorde det domenebaserte internett utilgjengelig for mange på østkysten av USA og i Europa 21. oktober 2016. Det var det største cyberangrepet som forårsaket nedetid på internett i USAs historie. Vi kommer opp på toårsdagen for det beryktede Mirai-botnettet.

Et botnet er når mange datamaskiner blir smittet med zombie-skadelig programvare som gjør at de kan kontrolleres av en sentral server for å gjennomføre cyberangrep med deres kollektive datakraft og båndbredde. De er en populær måte å gjennomføre distribuert tjenestenekt på (DDoS) angrep som kan ta ned alle slags forskjellige typer nettverksapparater og internett-servere. Denial of service-angrep distribueres ved å overvelde et nettverksmål med pakker til minnebufferen er fylt over kapasitet og den blir tvunget til å slå seg av. Den distribuerte delen innebærer at mange datamaskiner er koordinert i å utføre et denial of service-angrep.

Mirai søkte på internett etter IoT (Internet of Things) -enheter gjennom Telnet-porten. Hvis en enhet hadde en åpen Telnet-port, ville Mirai-skadeprogrammet prøve en kombinasjon av 61 kjente standard brukernavn og passordkombinasjoner for å finne en som tillater at den ondsinnet autentiserer. Hvis en kombinasjon fungerte, ble enheten lagt til det enorme og voksende Mirai botnet. De fleste av enhetene infisert av Mirai-skadelig programvare var Internett-tilkoblede lukkede TV-kameraer og rutere.

Det første store internett-serverangrepet utført av Mirai botnet målrettet OVH, en fransk skytjenesteleverandør. To DDoS-angrep med en båndbredde på opptil 799 Gbps tok ned noen OVH-vert Minecraft-servere. Da besto botnet av 145,607 XNUMX enheter.

Comodo malware-forsker Venkat Ramanan har sett Mirai botnet siden oppdagelsen. “Den første hendelsen av Mirai botnet ble oppdaget i august 2016. Det ble notert millioner av IoT-enhetsangrep i løpet av samme år. Mirais nettkriminelle gjeng lastet opp Mirais kildekode på Github i oktober 2016. ”

21. oktober 2016 traff Mirai botnet Dyn-nettverket av DNS-servere. DNS-servere løser domenenavn (for eksempel google.com) til IP-adresser (for eksempel 8.8.8.8), slik at mennesker ikke trenger å huske disse IP-adressene for å få tilgang til internettjenester. Dyn er en mye brukt DNS-leverandør, så deres nedetid gjorde domenebasert internettbruk utilgjengelig for mange mennesker. Dyn ga ut analysen av angrepet etter deres hendelsesrespons:

“Fredag ​​21. oktober 2016 fra omtrent 11:10 UTC til 13:20 UTC og deretter igjen fra 15:50 UTC til 17:00 UTC, ble Dyn angrepet av to store og komplekse DDoS-angrep (Distribuert Denial of Service) mot vår administrerte DNS-infrastruktur. Disse angrepene ble vellykket redusert av Dyn's Engineering and Operations-team, men ikke før vi fikk betydelig innvirkning på våre kunder og deres sluttbrukere.

Det første angrepet begynte rundt 11:10 UTC fredag ​​21. oktober 2016. Vi begynte å se forhøyet båndbredde mot vår administrerte DNS-plattform i Asia-Stillehavet, Sør-Amerika, Øst-Europa og USA-vest-regionene som presenteres på en måte som vanligvis er assosiert med en DDoS angrep...

Dette angrepet har åpnet for en viktig samtale om internett-sikkerhet og volatilitet. Ikke bare har det fremhevet sårbarheter i sikkerheten til 'Internet of Things' (IoT) -enheter som må adresseres, men det har også utløst ytterligere dialog i internettinfrastruktursamfunnet om internettets fremtid. Som vi har gjort tidligere, ser vi frem til å bidra til den dialogen. ”

Angrepet førte ikke bare oppmerksomhet til hvor sårbare IoT-enheter kan være, men det fungerte også som en utmerket påminnelse om å alltid endre standardinnstillingene på internettkoblede enheter - spesielt brukernavn og passord!

Vel nå, Mirai er tilbake og dårligere enn noen gang. En av utfordringene med å utvikle IoT-skadelig programvare er hvor veldig forskjellige IoT-enheter er fra hverandre. Det er enormt mangfold i IoT-enheter fordi de kan manifestere seg som alt fra industrielle kontrollere til medisinsk utstyr, fra barneleker til kjøkkenutstyr. De kan kjøre en rekke forskjellige operativsystemer og innebygd programvare, så ondsinnet kode som kan utnytte sårbarhetene på en bestemt enhet, kan vanligvis ikke utnytte de fleste andre enheter. Men ved hjelp av Aboriginal Linux-prosjektet kan den nyeste Mirai-skadelige programvaren utnytte et bredt spekter av IoT-enheter. En malware-forsker oppdaget det i naturen:

”I slutten av juli kom jeg over en live ekstern server som var vert for flere malware-varianter, hver for en bestemt plattform. Som med mange Mirai-infeksjoner, begynner det med å skyte et skallskript på en sårbar enhet. Det skallskriptet prøver sekvensielt å laste ned og kjøre individuelle kjørbare filer en etter en til en binær kompatibel med gjeldende arkitektur er funnet ...

Selv om dette er en lignende oppførsel som Mirai-variantene vi har sett så langt, er det kompilerte binærfaget som gjør det interessant. Disse variantene er opprettet ved å utnytte et open source-prosjekt kalt Aboriginal Linux som gjør prosessen med kryss-kompilering enkel, effektiv og praktisk talt feilsikker. Det skal bemerkes at det ikke er noe skadelig eller galt med dette åpen kildekodeprosjektet. Malwareforfatterne bruker igjen legitime verktøy for å supplere kreasjonene sine, denne gangen med en effektiv krysssamlingsløsning.

Gitt at den eksisterende kodebasen er kombinert med et elegant rammeverk for kryss-kompilering, er de resulterende skadelige variantene mer robuste og kompatible med flere arkitekturer og enheter, noe som gjør den kjørbar på et bredt utvalg av enheter, alt fra rutere, IP-kameraer, tilkoblede enheter, og til og med Android-enheter. ”

Hvis du har IoT-enheter som kjører en versjon av Linux eller Android, og du vil forhindre sikkerhet mot denne siste versjonen av Mirai, kan du gjøre det her. Deaktiver Telnet-pålogginger hvis mulig, og blokker Telnet-porten helt. Hvis du bruker standard brukernavn og passord, kan du endre dem! Deaktiver Universal Plug and Play (UpnP) hvis du kan, og distribuer kablet Ethernet i stedet for WiFi hvis du kan. Hvis du trenger å bruke WiFi, må du bare koble til kryptert WiFi (WPA2 eller den kommende WPA3 er best), og ha et komplekst passord for ditt trådløse tilgangspunkt.

Relatert ressurs:

START GRATIS PRØVEPERIODE FÅ DIN KJENTE SIKKERHETSSCORECARD GRATIS

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://blog.comodo.com/comodo-news/mirai-strikes-back/