Мирай наносит удар | Мирай искала в Интернете устройства IoT

Время чтения: 4 минут

Все, что потребовалось, это одна вредоносная программа, чтобы форма ботнет, который сделал доменный Интернет недоступным для многих на восточном побережье США и в Европе 21 октября 2016 года. Это была крупнейшая кибератака, вызвавшая сбой в работе Интернета в истории США. Мы приближаемся ко второй годовщине пресловутого ботнета Mirai.

Ботнет - это когда многие компьютеры заражаются зомби-вредоносными программами, которые позволяют им управляться центральным сервером для проведения кибератак с их общей вычислительной мощностью и пропускной способностью. Это популярный способ распределенного отказа в обслуживании. (DDoS) атаки которые могут уничтожить все виды сетевых устройств и интернет-серверов. Атаки типа «отказ в обслуживании» развертываются путем перегрузки целевой сети пакетами до тех пор, пока ее буфер памяти не заполнится до предела и не будет принудительно завершен. Распределенная часть подразумевает, что многие компьютеры скоординированы в проведении атаки типа «отказ в обслуживании».

Мирай искал в Интернете устройства IoT (Internet of Things) через порт Telnet. Если бы у устройства был открытый порт Telnet, вредоносная программа Mirai попыталась бы комбинация из 61 известного имени пользователя и пароля по умолчанию чтобы найти тот, который позволил бы ему злонамеренно аутентифицироваться. Если сработала одна комбинация, устройство было добавлено в массивный и растущий ботнет Mirai. Большинство устройств, зараженных вредоносным ПО Mirai, представляли собой подключенные к Интернету камеры и маршрутизаторы.

Первая крупная атака на интернет-сервер, проведенная ботнетом Mirai OVH, французский поставщик облачных услуг, Две DDoS-атаки с пропускной способностью до 799 Гбит / с сломали некоторые серверы Minecraft, размещенные в OVH. К тому времени ботнет состоял из 145,607 XNUMX устройств.

Исследователь вредоносных программ Comodo Венкат Раманан наблюдал ботнет Mirai с момента его обнаружения. «Первый инцидент с ботнетом Mirai был замечен в августе 2016 года. В том же году были отмечены миллионы атак на устройства IoT. Кибер-преступная группа Mirai загрузила исходный код Mirai на Github в октябре 2016 года ».

21 октября 2016 года ботнет Mirai попал в сеть DNS-серверов Dyn. DNS-серверы разрешают доменные имена (например, google.com) в IP-адреса (например, 8.8.8.8), чтобы людям не приходилось запоминать эти IP-адреса для доступа к интернет-службам. Dyn является широко используемым поставщиком DNS, поэтому из-за простоя из-за доменного доступа в Интернет доступ для многих людей стал недоступен. Дин выпустил свой анализ атаки после их инцидента ответ:

«В пятницу, 21 октября 2016 года, примерно с 11:10 UTC до 13:20 UTC, а затем с 15:50 UTC до 17:00 UTC Дин подвергся нападению двух крупных и сложных атак распределенного отказа в обслуживании (DDoS) против наша управляемая инфраструктура DNS. Эти атаки были успешно смягчены инжиниринговыми и операционными командами Dyn, но не раньше, чем наши клиенты и их конечные пользователи ощутили значительное влияние.

Первая атака началась около 11:10 UTC в пятницу, 21 октября 2016 года. Мы начали видеть повышенную пропускную способность по сравнению с нашей платформой управляемых DNS в Азиатско-Тихоокеанском регионе, Южной Америке, Восточной Европе и США-Западе, которые представлены в типично ассоциированном виде. с DDoS-атака...

Эта атака открыла важный разговор об интернет-безопасности и нестабильности. Он не только выдвинул на первый план уязвимости в безопасности устройств «Интернета вещей» (IoT), которые необходимо устранить, но также вызвал дальнейший диалог в сообществе интернет-инфраструктуры о будущем Интернета. Как и в прошлом, мы надеемся внести свой вклад в этот диалог ».

Атака не только привлекла внимание к тому, насколько уязвимыми могут быть устройства IoT, но и послужила отличным напоминанием о необходимости всегда менять настройки по умолчанию на подключенных к Интернету устройствах, особенно имена пользователей и пароли!

Что ж, теперь Мирай вернулся и стал еще хуже. Одна из проблем разработки IoT-вредоносных программ заключается в том, насколько сильно IoT-устройства отличаются друг от друга. В устройствах IoT огромное разнообразие, потому что они могут проявляться как что угодно, от промышленных контроллеров до медицинских устройств, от детских игрушек до кухонных приборов. Они могут запускать множество различных операционных систем и встроенного программного обеспечения, поэтому вредоносный код, который может использовать уязвимости на одном конкретном устройстве, обычно не может эксплуатировать большинство других устройств. Но с помощью проекта Aboriginal Linux последние вредоносные программы Mirai могут использовать самые разные устройства IoT. Исследователь вредоносных программ обнаружил это в дикой природе:

«В конце июля я столкнулся с живым удаленным сервером, на котором размещалось несколько вариантов вредоносных программ, каждый для определенной платформы. Как и во многих случаях заражения Mirai, все начинается с запуска сценария оболочки на уязвимом устройстве. Этот сценарий оболочки последовательно пытается загрузить и выполнить отдельные исполняемые файлы один за другим, пока не будет найден двоичный файл, совместимый с текущей архитектурой…

Хотя это поведение похоже на варианты Mirai, которые мы уже видели, интересным является скомпилированный двоичный файл. Эти варианты были созданы путем использования проекта с открытым исходным кодом под названием Aboriginal Linux, который делает процесс кросс-компиляции простым, эффективным и практически безошибочным. Следует отметить, что в этом проекте с открытым исходным кодом нет ничего злонамеренного или неправильного: авторы вредоносных программ снова используют законные инструменты для дополнения своих созданий, на этот раз эффективным решением для кросс-компиляции.

Учитывая, что существующая кодовая база сочетается с элегантной структурой кросс-компиляции, получающиеся в результате варианты вредоносного ПО становятся более надежными и совместимыми с несколькими архитектурами и устройствами, что делает его исполняемым на самых разных устройствах - от маршрутизаторов, IP-камер, подключенных устройств, и даже устройства Android. »

Если у вас есть устройства IoT, работающие под управлением версии Linux или Android, и вы хотите усилить защиту от этой последней версии Mirai, вот что вы можете сделать. Отключите входы в систему Telnet, если это возможно, и полностью заблокируйте порт Telnet. Если вы используете имена пользователей и пароли по умолчанию, измените их! Отключите Universal Plug and Play (UpnP), если можете, и разверните проводной Ethernet вместо WiFi, если сможете. Если вам нужно использовать WiFi, подключайтесь только к зашифрованному WiFi (лучше всего подходит WPA2 или готовящийся к выпуску WPA3) и используйте сложный пароль для точки беспроводного доступа.

Связанные ресурса:

НАЧАТЬ БЕСПЛАТНУЮ ИСПЫТАНИЕ ПОЛУЧИТЕ СВОЙ МОМЕНТ БЕЗОПАСНОСТИ БЕСПЛАТНО

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://blog.comodo.com/comodo-news/mirai-strikes-back/