Mirai kontratakuje

Mirai kontratakuje

Znacznik czasu: 18 września 2018 2:28

Ruletka WordPress Czas czytania: 4 minuty

Mirai uderza

Wystarczyło jedno złośliwe oprogramowanie Nasz formularz botnet, który 21 października 2016 r. sprawił, że Internet oparty na domenach stał się niedostępny dla wielu osób na wschodnim wybrzeżu Stanów Zjednoczonych i w Europie. Był to największy cyberatak, który spowodował przestoje w Internecie w historii Stanów Zjednoczonych. Zbliżamy się do drugiej rocznicy powstania cieszącego się złą sławą botnetu Mirai.

Botnet to sytuacja, w której wiele komputerów zostaje zainfekowanych złośliwym oprogramowaniem zombie, które umożliwia kontrolowanie ich przez centralny serwer w celu przeprowadzania cyberataków przy użyciu ich zbiorczej mocy obliczeniowej i przepustowości. Są popularnym sposobem przeprowadzania rozproszonej odmowy usługi (DDoS) który może wyłączyć różnego rodzaju urządzenia sieciowe i serwery internetowe. Ataki typu „odmowa usługi” są przeprowadzane poprzez przytłoczenie celu sieciowego pakietami do momentu, aż jego bufor pamięci zostanie zapełniony i zmuszony do wyłączenia. Część rozproszona oznacza, że ​​wiele komputerów jest koordynowanych w przeprowadzaniu ataku typu „odmowa usługi”.

Mirai przeszukała Internet w poszukiwaniu urządzeń IoT (Internet of Things) przez port Telnet. Jeśli urządzenie ma otwarty port Telnet, złośliwe oprogramowanie Mirai spróbuje kombinacja 61 znanych domyślnych kombinacji nazwy użytkownika i hasła aby znaleźć taki, który pozwoliłby mu złośliwie uwierzytelnić się. Jeśli jedna kombinacja zadziałała, urządzenie zostało dodane do ogromnego i rosnącego botnetu Mirai. Większość urządzeń zainfekowanych złośliwym oprogramowaniem Mirai to kamery i routery telewizji przemysłowej podłączonej do Internetu.

Pierwszy poważny atak na serwer internetowy przeprowadzony przez botnet Mirai OVH, francuski dostawca usług w chmurze. Dwa ataki DDoS o przepustowości do 799 Gb / s zniszczyły niektóre serwery Minecraft hostowane przez OVH. Do tego czasu botnet składał się z 145,607 XNUMX urządzeń.

Venkat Ramanan, badacz złośliwego oprogramowania Comodo, obserwuje botnet Mirai od czasu jego wykrycia. „Pierwszy incydent związany z botnetem Mirai został zauważony w sierpniu 2016 roku. W tym samym roku odnotowano miliony ataków na urządzenia IoT. Gang cyberprzestępców Mirai przesłał kod źródłowy Mirai na Github w październiku 2016 r. ”

21 października 2016 r. Botnet Mirai trafił do sieci serwerów DNS Dyn. Serwery DNS przekształcają nazwy domen (takie jak google.com) na adresy IP (takie jak 8.8.8.8), dzięki czemu ludzie nie muszą ich zapamiętywać, aby uzyskać dostęp do usług internetowych. Dyn jest powszechnie używanym dostawcą DNS, więc ich przestoje sprawiły, że korzystanie z Internetu w domenie stało się niedostępne dla wielu osób. Dyn opublikował analizę ataku po odpowiedzi na incydent:

„W piątek, 21 października 2016 r. Od około 11:10 UTC do 13:20 UTC, a następnie od 15:50 UTC do 17:00 UTC, Dyn padł ofiarą dwóch dużych i złożonych ataków DDoS (Distributed Denial of Service) przeciwko nasza zarządzana infrastruktura DNS. Ataki te zostały skutecznie złagodzone przez zespoły inżynieryjne i operacyjne Dyn, ale nie wcześniej niż nasi klienci i ich użytkownicy końcowi odczuli znaczący wpływ.

Pierwszy atak rozpoczął się około godziny 11:10 UTC w piątek, 21 października 2016 r. Zaczęliśmy dostrzegać zwiększoną przepustowość na naszej platformie Managed DNS w regionach Azji i Pacyfiku, Ameryce Południowej, Europie Wschodniej i Zachodnich Stanach Zjednoczonych, które prezentowały się w typowy sposób z atak DDoS...

Ten atak otworzył ważną dyskusję na temat bezpieczeństwa w Internecie i zmienności. Nie tylko zwrócił uwagę na luki w zabezpieczeniach urządzeń „Internetu rzeczy” (IoT), którymi należy się zająć, ale także wywołał dalszy dialog w społeczności infrastruktury internetowej na temat przyszłości Internetu. Podobnie jak w przeszłości, z niecierpliwością czekamy na udział w tym dialogu ”.

Atak nie tylko zwrócił uwagę na to, jak podatne mogą być urządzenia IoT, ale również był doskonałym przypomnieniem, aby zawsze zmieniać domyślne ustawienia na urządzeniach podłączonych do Internetu - zwłaszcza nazwy użytkowników i hasła!

Cóż, teraz Mirai wróciła i jest gorsza niż kiedykolwiek. Jednym z wyzwań związanych z tworzeniem szkodliwego oprogramowania IoT jest to, jak bardzo różnią się od siebie urządzenia IoT. Istnieje ogromna różnorodność urządzeń IoT, ponieważ mogą one objawiać się jako wszystko, od kontrolerów przemysłowych po urządzenia medyczne, od zabawek dla dzieci po urządzenia kuchenne. Mogą uruchamiać wiele różnych systemów operacyjnych i oprogramowania wbudowanego, więc złośliwy kod, który może wykorzystać luki w zabezpieczeniach jednego konkretnego urządzenia, zwykle nie może wykorzystywać większości innych urządzeń. Jednak z pomocą projektu Aboriginal Linux najnowsze złośliwe oprogramowanie Mirai może wykorzystywać szeroką gamę urządzeń IoT. Badacz złośliwego oprogramowania odkrył to na wolności:

„Pod koniec lipca natknąłem się na zdalny serwer na żywo, na którym znajduje się wiele wariantów złośliwego oprogramowania, każdy dla określonej platformy. Podobnie jak w przypadku wielu infekcji Mirai, zaczyna się od uruchomienia skryptu powłoki na podatnym urządzeniu. Ten skrypt powłoki sekwencyjnie próbuje pobierać i uruchamiać poszczególne pliki wykonywalne jeden po drugim, aż zostanie znaleziony plik binarny zgodny z bieżącą architekturą…

Chociaż jest to podobne zachowanie do wariantów Mirai, które widzieliśmy do tej pory, to, co czyni go interesującym, to skompilowany plik binarny. Warianty te zostały stworzone dzięki wykorzystaniu projektu open source o nazwie Aboriginal Linux, który sprawia, że ​​proces kompilacji krzyżowej jest łatwy, skuteczny i praktycznie niezawodny. Należy zauważyć, że nie ma nic złośliwego ani złego w tym projekcie open source, autorzy szkodliwego oprogramowania po raz kolejny wykorzystują legalne narzędzia, aby uzupełnić swoje kreacje, tym razem efektywnym rozwiązaniem do kompilacji krzyżowej.

Biorąc pod uwagę, że istniejąca baza kodu jest połączona z elegancką strukturą kompilacji krzyżowej, powstałe warianty złośliwego oprogramowania są bardziej niezawodne i kompatybilne z wieloma architekturami i urządzeniami, dzięki czemu można je wykonywać na wielu różnych urządzeniach, takich jak routery, kamery IP, podłączone urządzenia, a nawet urządzenia z Androidem ”.

Jeśli masz urządzenia IoT z wersją systemu Linux lub Android i chcesz wzmocnić zabezpieczenia przed najnowszą wersją Mirai, oto, co możesz zrobić. Jeśli to możliwe, wyłącz logowanie Telnet i całkowicie zablokuj port Telnet. Jeśli używasz domyślnych nazw użytkownika i haseł, zmień je! Jeśli możesz, wyłącz Universal Plug and Play (UpnP) i wdróż przewodową sieć Ethernet zamiast WiFi, jeśli możesz. Jeśli potrzebujesz korzystać z Wi-Fi, łącz się tylko z szyfrowanym Wi-Fi (najlepiej WPA2 lub nadchodzący WPA3) i posiadaj złożone hasło do bezprzewodowego punktu dostępowego.

Powiązane zasoby:

ROZPOCZNIJ DARMOWY OKRES PRÓBNY ODBIERZ SWOJĄ NATYCHMIASTOWĄ KARTĘ BEZPIECZEŃSTWA ZA DARMO

Znak czasu:

Więcej z Cyberbezpieczeństwo Comodo