Wariantów Mirai Botnet zachować infekowania urządzeń IoT

Computer Security News

Po pierwsze 665 atak Gbps DDoS Mirai botnet był przeciwko stronie KrebsOnSecurity we wrześniu 2016 r. Kilka dni później, drugi atak, który dotarł do prawie 1 TB, hit francuski hosting firmy OVH. Pomimo faktu, że deweloper Mirai zwolniony kodu źródłowego wkrótce po ataki botnet, nie pozostać wolna na długo.

W stycznia 2017 Brian Krebs zidentyfikowane Paras WSiSW jako autorskie Mirai, i w grudniu 2017 DoJ nieuszczelnione plea-bargained winy przez Paras WSiSW, rozwoju i stosowania Mirai. Jednak było za późno, aby zatrzymać botnet, ponieważ już objawił jego kod i innych przestępców może rozwijać nowe warianty Mirai.

Zabezpieczenie badanie przy Netscout Arbor zaobserwowali następujące warianty Mirai tak daleko: Satori, JenX, OMG i Wicked.

Mirai botnet rozprzestrzenia się przez skanowanie w poszukiwaniu innych urządzeń IoT podłączonego do Internetu (kamer IP i routery domowe) i bydlę siła dostęp za pośrednictwem listy haseł dostawcy domyślnego. Jak konsumenci zazwyczaj nie należy zmieniać hasła, który jest dołączony do urządzenia, proces jest niezwykle udany.

Satori używa tej samej tabeli konfiguracji i tej samej techniki zaciemniania ciąg jako Mirai. Jednak zespoły ASERT twierdzi, że “Widzimy autor rozwija kod źródłowy Mirai uwzględnienie różnych exploitów, takich jak bramy domu Huawei wykorzystać.” Exploit został CVE-2017-17215.

Kod źródłowy dla JenX również pochodzi z Mirai, łącznie z tej samej tabeli konfiguracji i tej samej techniki zaciemniania ciąg. Różnicą jest to, że JenX twardego kodów C2 IP adres podczas Mirai przechowuje je w tabeli konfiguracji. Poza tym JenX usunęła skanowanie i wykorzystywania funkcji Mirai, obsługiwane przez oddzielny system.

Według ASERT, “wydaje się że JenX skupia się tylko na ataki DDoS przeciwko graczom gry wideo Grand Theft Auto San Andreas, które zostało odnotowane przez innych naukowców.”

OMG jest znany jako jeden z najbardziej interesujących wariantów Mirai. Podczas gdy obejmuje wszystkie Mirai funkcjonalność, “autor rozszerzony kod Mirai, aby zawierać serwer proxy.” Pozwala to włączyć skarpetki i serwer proxy HTTP na zainfekowanego urządzenia IoT.

Wicked jest najnowszych wariant Mirai, bardzo podobny do Satori wariant 3.

“Wicked handluje w poświadczeń Mirai skanowanie funkcji dla jego własny skaner RCE. Wicked RCE skanera jest przeznaczony dla Netgear routery i urządzenia CCTV DVR. “ Znalezieniu podatnych urządzeń “kopię Owari bot pobraniu i stracony.” zespół ASERT wyjaśnia.

Dalsza analiza wykazała jednak, że w praktyce Wicked próbował pobrać Owari botnet, ale faktycznie pobrane Omni botnet.

“Możemy zasadniczo można potwierdzić, że autor botnety Wicked, Sora, Owari i Omni są jednym i tym samym. To również prowadzi nas do wniosku, że mimo złych bot został pierwotnie przeznaczone do dostarczania Sora botnet, to później repurposed służyć autora kolejnych projektów,” Fortinet eksperci twierdzą, podczas gdy warianty Mirai ciągle wzrasta.


Leave a Reply

Your email address will not be published. Required fields are marked *