Изходният код на Mirai. Ботнет мрежи: как работят и как правят пари

Ботнет атаките на Mirai срещу американския DNS доставчик Dyn през 2016 г. предизвикаха широк резонанс и привлякоха повишено внимание към ботнет мрежите. Въпреки това, в сравнение с начина, по който съвременните киберпрестъпници използват ботнети днес, атаките срещу Dyn може да изглеждат като детски шеги. Престъпниците бързо се научиха да използват ботнет мрежи, за да стартират сложен злонамерен софтуер, който може да създаде цели инфраструктури от заразени компютри и други устройства с интернет, за да генерира незаконни печалби в огромен мащаб.

IN последните години правоохранителните органипостигнаха известен напредък в борбата с престъпната дейност, свързана с ботнет, но досега тези усилия със сигурност не са достатъчни, за да направят достатъчен пробив в ботнет мрежи, управлявани от киберпрестъпници. Ето някои известни примери:

• Министерството на правосъдието на САЩ повдигна обвинения срещу двама младежи за ролята им в разработването и работата на ботнета Mirai: Paras Jha, 21, и Josiah White, 20. Те са обвинени в организиране и извършване на DDoS атаки срещу компании и след това искане на откуп, за да ги спрат, както и в продажба на „услуги“ на тези компании за предотвратяване на подобни атаки в бъдеще.
• Испанските власти, като част от трансгранична операция по искане на Съединените щати, арестуваха жителя на Санкт Петербург Петър Левашов, известен в киберпрестъпните среди като Питър Севера. Той ръководи Kelihos, една от най-продължителните ботнети в Интернет, за която се смята, че е заразила около 100 000 компютъра. В допълнение към изнудването, Петър Левашов активно използва Kelihos за организиране на спам съобщения, като таксува $200-$500 за милион съобщения.
• Миналата година двама израелски тийнейджъри бяха арестувани по обвинения в организиране на DDoS атаки срещу награди. Двойката успя да спечели около 600 000 долара и да извърши около 150 000 DDoS атаки.

Ботнет мрежите са компютърни мрежи, състоящи се от голям брой компютри или други устройства, свързани с интернет, на които без знанието на техните собственици се изтегля и стартира автономен софтуер – ботове. Интересното е, че самите ботове първоначално са разработени като софтуерни инструменти за автоматизиране на некриминални повтарящи се и повтарящи се задачи. По ирония на съдбата, един от първите успешни ботове, известен като Eggdrop и създаден през 1993 г., е предназначен да контролира и защитава IRC (Internet Relay Chat) канали от опити на трети страни да поемат контрола над тях. Но престъпните елементи бързо се научиха да използват силата на ботнетите, използвайки ги като глобални, почти автоматични системи за печалба.

През това време зловреден софтуер за ботнет се разви значително и вече може да използва различни методиатаки, които се случват едновременно в няколко посоки. Освен това „ботовата икономика“ от гледна точка на киберпрестъпниците изглежда изключително привлекателна. На първо място, практически няма разходи за инфраструктура, тъй като компрометирани компютри и друго оборудване с интернет се използват за организиране на мрежа от заразени машини, естествено, без знанието на собствениците на тези устройства. Тази свобода от инвестиции в инфраструктура означава, че печалбите на престъпниците ще бъдат практически равни на доходите им от незаконни дейности. Освен че могат да използват такава „доходоносна“ инфраструктура, анонимността също е изключително важна за киберпрестъпниците. За да направят това, те използват главно „непроследими“ криптовалути като биткойн, когато искат откуп. Поради тези причини ботнетите се превърнаха в предпочитана платформа за киберпрестъпления.

От гледна точка на внедряването на различни бизнес модели, ботнет мрежите са отлична платформа за стартиране на различни злонамерени функционалности, които носят незаконни доходи на киберпрестъпниците:

• Бързо и широкомащабно разпространение имейлисъдържащ рансъмуер, който изисква откуп.
• Като платформа за навиване на броя кликове върху връзката.
• Отваряне на прокси сървъри за анонимен достъп до Интернет.
• Осъществяване на опити за хакване на други интернет системи чрез грубо търсене (или „груба сила“).
• Задържане масови разпращанияимейли и хостване на фалшиви сайтове за широкомащабен фишинг.
• Оттегляне на CD-ключове или други лицензни данни за софтуера.
• Кражба на лична идентификационна информация.
• Получаване на информация за кредитна карта и друга банкова сметка, включително ПИН или "тайни" пароли.
• Инсталация кийлогъриза улавяне на всички данни, които потребителят въвежда в системата.

Как да създадете ботнет?

Важен фактор, допринасящ за популярността на използването на ботнет мрежи сред киберпрестъпниците в наше време, е относителната лекота, с която е възможно да се сглобяват, променят и подобряват различните компоненти на злонамерен софтуерботнет. Възможност за бързо създаванеБотнетът се появи още през 2015 г., когато публичен достъпсе оказаха изходните кодове на LizardStresser, инструментариум за провеждане на DDoS атаки, създаден от добре известната хакерска група Lizard Squad. Изтеглете ботнет за провеждане DDOS атакиднес всеки ученик може (което те вече правят, според новинарските издания по света).

Лесен за изтегляне и лесен за използване, кодът на LizardStresser съдържа някои усъвършенствани методи за извършване на DDoS атаки: поддържайте отворени TCP връзки, изпращайте произволни нежелани низове към TCP порт или UDP порт или изпращайте повторно TCP пакети с дадени стойности на флаг. Злонамереният софтуер също включва механизъм за произволно стартиране на команди на обвивката, което е изключително полезно за изтегляне на актуализирани версии на LizardStresser с нови команди и актуализиран списък на наблюдаваните устройства, както и за инсталиране на друг зловреден софтуер на заразеното устройство. Оттогава изходните кодове за други зловреден софтуерза организиране и контрол на ботнет мрежи, включително на първо място софтуера Mirai, който драстично намали „високотехнологичната бариера“ пред започване на престъпна дейност и в същото време увеличи възможностите за печалба и гъвкавост в използване на ботнет мрежи.

Как Интернет на нещата (IoT) се превърна в Клондайк за създаване на ботнети

По отношение на броя на заразените устройства и генерирания от тях трафик по време на атаки, масовото използване на незащитени IoT устройства има експлозивен ефект, водещ до появата на ботнет мрежи в безпрецедентен мащаб. Така например през лятото на 2016 г., преди и непосредствено по време на Олимпийските игри в Рио де Жанейро, една от ботнетите, създадена на базата на програмен код LizardStresser използва предимно около 10 000 заразени IoT устройства (предимно уеб камери), за да извърши многобройни и продължителни DDoS атаки с постоянна мощност от над 400 Gbps, достигайки 540 Gbps по време на своя пик. Също така отбелязваме, че според оценките оригиналният ботнет на Mirai е успял да компрометира около 500 хиляди IoT устройства по целия свят.

Въпреки че много доставчици са направили някои промени след тези атаки, повечето IoT устройства все още се доставят с настройките за потребителско име и парола по подразбиране или с известни уязвимости в сигурността. Освен това, за да спестят време и пари, някои производители периодично дублират хардуера и софтуера, използвани за различни класове устройства. В резултат на това паролите по подразбиране, използвани за управление на оригиналното устройство, могат да бъдат приложени към много напълно различни устройства. По този начин вече са внедрени милиарди незащитени IoT устройства. И докато прогнозираният ръст на техния брой се забави (макар и леко), очакваното увеличение на глобалния флот от „потенциално опасни“ IoT устройства в обозримо бъдеще не може да не шокира (вижте графиката по-долу).

Много IoT устройства са чудесни за неоторизирана употреба като част от престъпни ботнети, защото:

• В по-голямата си част те са неуправляеми, с други думи, работят без подходящ контрол отвън. системен администратор, което прави използването им като анонимни проксита изключително ефективно.
• Обикновено те са онлайн 24x7, което означава, че са достъпни за атаки по всяко време и като правило без никакви ограничения за честотна лентаили филтриране на трафика.
• Те често използват съкратена версия на операционната система, базирана на фамилията Linux. И зловреден софтуер за ботнет може лесно да се компилира за широко използвани архитектури, главно ARM/MIPS/x86.
• пресечен операционна системаавтоматично означава по-малко възможности за функции за сигурност, включително докладване, така че повечето заплахи остават незабелязани от собствениците на тези устройства.

Ето още един скорошен пример, който ще ви помогне да разберете силата, която могат да имат съвременните ботнет престъпни инфраструктури: през ноември 2017 г. ботнетът Necurs изпрати нов щам на вируса Scarab ransomware. В резултат на масовата кампания бяха изпратени около 12,5 милиона заразени имейла, т.е. скоростта на разпространение беше повече от 2 милиона имейла на час. Между другото, същият ботнет беше забелязан да разпространява банкови троянски коне Dridex и Trickbot, както и вируси за рансъмуер Locky и Jans.

заключения

Високата достъпност и лекотата на използване на по-усъвършенстван и гъвкав злонамерен софтуер за ботнет през последните години, съчетан със значителното увеличение на броя на незащитените IoT устройства, превърна престъпните ботнети в ключов компонент на нарастващата цифрова сива икономика. В тази икономика има пазари за незаконни данни, злонамерени действия срещу конкретни цели при предоставянето на услуги под наем и дори за тяхната собствена валута. И всички прогнози на анализатори и експерти по сигурността звучат изключително разочароващо - в обозримо бъдеще ситуацията със злоупотребата с ботнети за незаконни печалби само ще се влоши.

Вечен параноик, Антон Кочуков.

С нарастващата популярност и мащаб на Интернет на нещата, неговите устройства започнаха да се използват от нападателите като платформа за организиране на най-мощните кибератаки. Сериозността и броят на високопрофилните инциденти със сигурността, включващи такива устройства, показаха, че те са най-слабото звено във веригата за сигурност на съвременния компютърни мрежи. И въпреки че изчислителната мощ на повечето субекти на Интернет на нещата е далеч от възможностите на компютъра, липсата му се компенсира от броя на устройствата, обединени в едно цяло. Всички те са постоянно свързани с мрежата и често, работейки във фабричната конфигурация, се превръщат в вкусна хапка за бисквити. Огромният брой, широкото разпространение и слабата сигурност на IoT устройствата вече привлякоха много нападатели, които активно ги използват за стартиране на DDoS атаки.

„Бъдещето“ вече е тук

Скорошен добре известен пример е ботнетът Mirai (на японски за „бъдеще“. - Забележка. изд.), открит за първи път през август 2016 г. от изследователския екип на MalwareMustDie. Самият зловреден софтуер, както и многобройните му варианти и имитатори, станаха източници на най-мощните DDoS атаки в историята на ИТ индустрията.

През септември 2016 г. сайтът на консултанта по компютърна сигурностБрайън Кребс започна да получава трафик със скорост от 620 Gb / s, което е с порядък по-високо от нивото, при което повечето сайтове се провалят. Приблизително по същото време още по-мощна DDoS атака на Mirai (1,1 Tbps) удари OVH, френски доставчик на уеб хостинг услуги и облачни услуги. Скоро изходният код на зловреден софтуер беше публикуван, след което нападателите започнаха да наемат ботнети, базирани на него, съдържащи до 400 000 устройства. Последваха поредица от атаки на Mirai, най-известната от които, организирана срещу доставчика на услуги Dyn, през октомври 2016 г. деактивира стотици сайтове за няколко часа, включително Twitter, Netflix, Reddit и GitHub.

Mirai обикновено се разпространява, като първо зарази уеб камери, DVR, рутери и т.н., които работят с една версия на BusyBox. След това злонамереният софтуер открива административните данни на други IoT устройства просто чрез груба сила, използвайки малък речник на генерични доставчици. мрежови устройствадвойки "име-парола".

Впоследствие мутациите на Mirai започнаха да се появяват буквално ежедневно и фактът, че те запазиха способността си да се възпроизвеждат и причиняват щети, използвайки същите методи като оригинала, показва хронично пренебрегване на производителите на IoT устройства с най-простите методи за защита. По ирония на съдбата обаче ботнет мрежите, създадени от такива устройства, са получили малко изследвания, въпреки опасността все по-сложните атаки, базирани на тях, да имат потенциала да подкопаят цялата инфраструктура на Интернет.

Как работи Mirai

Mirai стартира DDoS атака срещу целевите сървъри, като се разпространява активно през IoT устройства с несигурна конфигурация.

Главни компоненти

Ботнетът Mirai има четири основни компонента. Ботът е злонамерен софтуер, който заразява устройства и разпространява „инфекция“ сред неправилно конфигурирани устройства и след това атакува целевия сървър, когато получи съответната команда от ботмастъра – лицето, което контролира ботовете. Сървърът за управление и управление предоставя на ботмастъра интерфейс за проверка на състоянието на ботнета и иницииране на нови DDoS атаки. Комуникацията между елементите на ботнет инфраструктурата обикновено се осъществява чрез анонимен Tor мрежа. Товарачът разпространява изпълними файлове за всички хардуерни платформи (общо 18, включително ARM, MIPS, x86 и т.н.) чрез директен контакт с нови жертви. Сървърът за отчитане поддържа база данни с информация за всички устройства в ботнета и новозаразените хостове обикновено комуникират директно с този сървър.

Схема на дейност и комуникация в ботнет

Mirai първо сканира портове 23 и 2323 за случайни публични IP адреси. Някои адреси са изключени (вероятно за да не привличат вниманието на правителствените агенции) - например тези, принадлежащи на пощата на САЩ, Пентагона, IANA, както и General Electric и Hewlett-Packard. На фиг. 1 показва основните етапи на дейност и обмен на данни в ботнет.

Етап 1.Ботът провежда атака с груба сила, като извлича идентификационните данни на IoT устройства, които не са нулирани до фабричните настройки. Има 62 възможни двойки потребителско име/парола в речника Mirai.

Етап 2.След като сте намерили работещи идентификационни данни и сте ги използвали, за да получите достъп до тях командна линияили графика потребителски интерфейсустройство, ботът предава своите характеристики на сървъра за отчети през различен порт.

Етап 3.Ботмастърът редовно проверява потенциалните цели и текущото състояние на ботнета, като комуникира със сървъра за отчети чрез Tor.

Етап 4.След като избере уязвими устройства за заразяване, ботмастерът издава съответните команди на програмата за изтегляне с всички необходими подробности, включително IP адреси и информация за хардуерната архитектура.

Етап 5.Програмата за изтегляне влиза в уязвимото устройство и го принуждава да изтегли и стартира съответния изпълним файл на зловреден софтуер. Обикновено изтеглянето се извършва с помощта на помощната програма GNU Wget, като се използва TFTP протокол. Трябва да се отбележи, че след като зловредният софтуер бъде стартиран, той се опитва да се защити от конкуренти, като блокира портове, през които често се случва инфекция, включително Telnet и SSH. На този етап новосъздадената инстанция на бот вече може да комуникира с контролния сървър и да получава команди от него за стартиране на атака. Той прави това чрез разрешаване на името на домейна, твърдо кодирано в изпълнимия файл (по подразбиране в Mirai е cnc.changeme.com). Този метод, използван вместо директен достъп до IP адреса, позволява на ботмастъра да променя IP адресите на контролния сървър без промяна на двоични файлове и допълнителен обмен на информация.

Етап 6.Ботмастерът инструктира всички екземпляри на бота да започнат атака срещу целевия сървър, като предава подходящите параметри през командния и контролен сървър, включително вида и продължителността на атаката, както и IP адресите на самия сървър и на бота инстанции.

Етап 7.Ботовете започват да атакуват целта, използвайки един от дузината налични методи, включително наводняване с помощта на Generic Routing Encapsulation, TCP и HTTP протоколи.

Характеристики на Mirai

За разлика от друг подобен зловреден софтуер, Mirai не се опитва да избегне откриването. Почти всички етапи на заразяване имат характерни характеристики, които могат да бъдат разпознати с помощта на прост мрежов анализ: изброяване на определени идентификационни данни през определени портове; изпращане на персонализирани отчети; зареждане на конкретни двоични файлове; съобщения за поддържане на връзката; предаване на команди за управление с характерна структура; почти пълната липса на произволни елементи в трафика на атаката.

На фиг. Фигура 2 показва стандартните режими на комуникация между буутлоудъра Mirai и IoT устройство, което вече е заразено, но все още не е атакувано. Продължителността на сесиите варира, но типовете и размерите на пакетите, както и последователността от съобщения, следват модели, които показват заразяване с този конкретен зловреден софтуер.

Варианти на Mirai

Изглежда, че публикуването на изходния код на Mirai и неговия относително силен мрежов шум трябваше да доведат до бързото появяване на ефективни механизми за разпознаване и защита. Това обаче не се случи: само два месеца след пускането на изходния код броят на екземплярите на ботове се увеличи повече от два пъти, от 213 хиляди на 493 хиляди, и се появи голям брой от неговите разновидности. Дори повече от година след откриването на Mirai, ботовете все още използват слаби конфигурации на устройства от същите типове, каквито са били първоначално.

Повечето инфекции с Mirai възникват през TCP портове 23 или 2323, но през ноември 2016 г. бяха открити щамове на вируса, които имат достъп до други портове, включително 7547, които ISP използват за дистанционноклиентски рутери. През същия месец един от тези варианти на Mirai остави почти милион абонати на Deutsche Telekom без достъп до мрежата.

През февруари 2017 г. с помощта на варианта Mirai беше организирана 54-часова DDoS атака срещу един от американските колежи. Следващия месец се появи друг вариант, този път с вградени съоръжения за копаене на биткойни, въпреки че беше изчислено, че използването на IoT устройства за тази цел е малко вероятно да донесе много приходи.

През април започна дейността на Persirai, друг ботнет, изграден с помощта на кодовата база Mirai. Тази зомби мрежа беше открита от изследователи на Trend Micro, които й дадоха име чрез комбиниране на думите Persian и Mirai - първата беше избрана въз основа на предполагаемия ирански произход на зловреден софтуер. Той се опитва да получи достъп до интерфейса за управление на уеб камери на определени производители на TCP порт 81. Ако успее, той прониква в рутера, използвайки UPnP уязвимост и след това изтегля, изпълнява и премахва допълнителни двоични файлове. Вместо да принуждава идентификационните данни да влязат в интерфейса на камерата, вирусът използва пропуск от нула дни, за да извлече директно файла с паролата. Разпределената DoS атака се извършва чрез наводняване на UDP протокола. Според оценки в мрежата има около 120 000 устройства, които са уязвими към Persirai.

Други IoT ботнети

Разчитайки на основни принципи Mirai, създателите на новия зловреден софтуер, започнаха да използват други, по-сложни механизми за увеличаване на мощността и маскиране на активността на зомби мрежите.

През август 2016 г. изследователи от MalwareMustDie докладваха за първия базиран на IoT ботнет, изграден с помощта на скриптовия език Lua. По-голямата част от ботнет армията се състои от кабелни модеми с ARM процесори, работещи с Linux. Зловреден софтуер има сложни функции- например създава криптиран канал за обмен на данни с контролния сървър и задава специални правила за iptables за защита на заразените устройства от конкуренти.

Ботнетът Hajime, открит през октомври 2016 г. от Rapidity Networks, използва метод за заразяване, подобен на Mirai. Но вместо на централизирана архитектура, Hajime разчита на разпределена комуникационна система, използвайки протокола BitTorrent Distributed Hash Tag (DHT) за откриване на партньори (потребители на партньорска мрежа) и използва транспортния протокол uTorrent за обмен на данни. Всички съобщения са криптирани с помощта на протокола RC4. Досега Хаджиме не се е доказал с отрицателна странанапротив, той адресира потенциални източници на уязвимости в IoT устройствата, използвани от ботнети като Mirai, което води до мнението, че е създадено от някакъв "Робин Худ". Истинската цел на ботнета обаче остава загадка.

Ботнетът BrickerBot, който подобно на Mirai заразява софтуера BusyBox, беше открит от експертите на Radware през април 2017 г. Използвайки SSH идентификационните данни по подразбиране, както и неправилни конфигурации и известни уязвимости, злонамереният софтуер се опитва да стартира атаки с постоянен отказ от услуга (PDoS) срещу IoT устройства, които са достатъчно разрушителни, за да принудят преконфигуриране или подмяна на оборудване. BrickerBot разваля фърмуера на устройството, изтрива файлове в тях и променя мрежовите настройки.

Уроци

Огромните щети, причинени от атаките на Mirai, неговите варианти и подобни ботнетове, ясно показаха рисковете, които представляват IoT устройствата за World Wide Web. Днес сравнително прости вируси са в състояние да поемат контрола над такива устройства и да създадат огромни разрушителни армии от "зомбита". В същото време нападателите са привлечени от простотата на нарастване на популация от ботове. Има пет основни причини, поради които IoT устройствата са особено полезни за създаване на ботнет мрежи.

1. Постоянна, безпрепятствена дейност.За разлика от лаптопите и настолните компютри, които често се включват и изключват, много IoT устройства (като уеб камери и Wi-Fi рутери) работят денонощно и често се възприемат от собствениците като устройства, които не могат да бъдат податливи на инфекции.
2. Липса на защита.В бързането си да навлязат на пазара на IoT, много производители на устройства пренебрегват сигурността в полза на удобството и лекотата на използване.
3. Липса на контрол.Повечето IoT устройства се използват на принципа „настрой и забрави“ – след първоначалната настройка системните администратори могат да им обърнат внимание само ако спрат да работят правилно.
4. Впечатляващ трафик на атака. IoT устройствата днес са достатъчно мощни и добре позиционирани, за да генерират трафик на DDoS атака, толкова мощен, колкото днешните настолни компютри.
5. Неинтерактивни или минимално интерактивни потребителски интерфейси.Тъй като IoT устройствата обикновено изискват минимална намеса на потребителя, има вероятност инфекцията да остане незабелязана. Но дори и да бъде забелязано, потребителите не са достъпни прости начиниелиминиране на зловреден софтуер, с изключение на физическата подмяна на устройството.

Появата на DDoS атаки, извършвани от IoT устройства, отдавна се предвиждаше и днес броят на все по-усъвършенстваните варианти и имитации на Mirai нараства с тревожна скорост. Такъв зловреден софтуер обикновено може да работи на много платформи и, като се характеризира с ниска консумация на ресурси, може да се задоволи с минимален оперативна памет. В допълнение, процедурата за заразяване е относително проста, което прави всяко уязвимо устройство кандидат за превръщане в зомби, дори ако често се рестартира. Повечето IoT зловреден софтуер, който съществува днес, е лесен за откриване и анализ, но новите ботове стават все по-скрити.

Обикновено по-голямата част от отговорността за DDoS атаките се носи от самите потребители и системните администратори, които пренебрегват елементарните предпазни мерки. Но в случай на IoT ботнети, цялата отговорност е на производителите, които произвеждат слабо защитени продукти с фабрични настройки. отдалечен достъп. В допълнение, само производителите на IoT устройства имат способността автоматично да предоставят собствени актуализации за защита за защита срещу инфекции. Конвенционалните ръчни практики за сигурност, като чести промени на пароли, не са възможни за IoT устройства, тъй като IoT устройствата се саморегулират в мрежата. Следователно днес Интернет на нещата изисква технически средстваконтроли за сигурност и стабилни стандарти за защита на устройствата, които всички доставчици трябва да спазват.

Джефри Воас ( [имейл защитен]) е сътрудник на IEEE.

Константинос Колиас, Георгиос Камбуракис, Ангелос Ставру, Джефри Воас, DDoS в IoT: Mirai и други ботнет мрежи. IEEE Computer, юли 2017 г., IEEE Computer Society. Всички права запазени. Препечатано с разрешение.

Миналия месец имаше атаки срещу големи сайтове като Twitterили Spotify, което временно ги деактивира. За целта е използван ботнет. Мирай, обединяващ 400-500 хиляди устройства на Интернет на нещата. Сега журналистите от Motherboard научиха, че двама хакери са успели да поемат контрола над ботнета и да създадат нова негова версия - тя вече интегрира милион устройства. Неговата сила изпитаха абонатите на немския доставчик Deutsche Telekom, чиято мрежа прекъсна миналия уикенд.

Мирай лов

Журналистите успяха да разговарят с един от тези двама мистериозни хакери - той използва псевдонима BestBuy. В криптиран онлайн чат той им каза, че се е развила истинска борба между хакерите за контрол над Mirai. Наскоро беше открита уязвимост в неговия софтуер. Използването му, съчетано със скоростта, може да позволи на BestBuy и неговия партньор Popopret да поемат контрола над по-голямата част от ботнета и да го допълнят с нови устройства.

По-рано нашите експерти проучиха кода на ботнета Mirai - оказа се, че той не е създаден специално за IoT устройства. Зловреден софтуер търси устройства, свързани към мрежата с потребителски данни и пароли по подразбиране (admin:admin, root:password и т.н.). Това означава, че теоретично може да включва всяко устройство, включително домашни компютри и сървъри или рутери.

IoT устройства- обикновено рутери - са част от ботнет Miraiдокато не се рестартира - тогава червеят се изтрива от паметта им. Въпреки това, ботнетът непрекъснато сканира интернет за уязвими устройства, така че "излекувано" устройство може бързо да стане част от него отново. Между хакерите има истинска надпревара кой първи ще зарази колкото се може повече устройства.

Няма информация как създателите на новия Mirai успяват да изпреварят конкурентите. Въпреки това, те казаха на репортери, че използват своя собствена ботнет за сканиране на потенциално уязвими устройства, включително тези, които също са били част от ботнета.

„Защо не накарате Mirai да ловува Mirai и да изяде оригинала“, казва BestBuy.

Не само Mirai

Новият ботнет обаче не само погълна стари устройства от Mirai и нови с пароли по подразбиране. Създателите му също използват 0-дневни уязвимости във фърмуера на IoT устройства. Експертите по-рано прогнозираха скорошната поява на такива "комбинирани" ботнети.

Борбата с тях става забележимо по-сложна - ако потребителят на крайното устройство трябва само да промени потребителското име и паролата, за да се изправи сам срещу Mirai, тогава той няма да може сам да се справи с уязвимостите на притурката.

DDoS при 700 Gbps

Хакерите на BestBuy и Popopret започнаха да рекламират своите услуги - те предлагат достъп до техните нова версия Mirai изпраща спам съобщения чрез XMPP/Jabber,

Според хакера те предлагат няколко пакета услуги на клиента. По-евтино $2 000 - за тези пари клиентите могат да наемат от 20 000 до 25 000ботнет възли за пускане на часови за период от до две седмици с пауза между атаките от петнадесет минути. Отзад $15 000 или $20 000 клиентите получават възможност вече 600 000 бота да стартират двучасови атаки с 30 или 15-минутни почивки. Във втория случай силата на атака ще бъде 700 Gbpsили по.

перспективи

Безопасност IoT устройствачесто е на доста ниско ниво - това се дължи на факта, че доставчиците често не се интересуват от въвеждането на допълнителни мерки информационна сигурност. Те рекламират лекотата на използване на продуктите си, а всички допълнителни мерки за сигурност на информацията налагат ограничения и изискват ресурси.

Както бе споменато по-горе, само разработчиците на крайни устройства или доставчиците, които ги предоставят (в случай на рутери), могат да защитят потребителите от по-напреднали ботнети. Германският интернет доставчик Deutsche Telekom, който беше засегнат от новата версия на Mirai, вече обяви, че ще „преразгледа бизнес отношенията“ с доставчиците на уязвими рутери. скоростно пристанище, компания Аркадян.

В крайна сметка ще бъде възможно да се повиши нивото на сигурност на Интернет на нещата чрез въвеждането на по-строг контрол на устройствата от доставчиците, от една страна, и разработването на стандарти и нормативна документация за IoT, от друга. Подобни мерки вече са предприети в много страни, за да се гарантира безопасността на APCS. Първите стъпки в тази посока вече са направени - например няколко ИТ доставчици публикуваха през септември документ, озаглавен Индустриалният интернет сигурностРамка (IISF)- предлага интернет на нещата да се разглежда като част от "индустриалния интернет".

Окончателното решение на въпроса обаче е все още далеч, а хакерите Best Buy и Popopretможе да получи монопол в големи количества DDoS атакина линия. Това е доста тъжен факт, но самите крадци, по време на разговор с дънна платкадекларират, че в дейността си ще се ръководят не само от печалбата, но и от моралните принципи. Затова BestBuy заяви, че няма да позволи на клиентите да атакуват IP адресите на компании, работещи с критична инфраструктура.

Двата най-известни и широко разпространени IoT ботнета – Mirai и Gafgyt – продължават да се „умножават“. Открити са нови варианти на този зловреден софтуер, насочен към корпоративния сектор. Основната опасност от тези киберзаплахи се крие в добре организираните и достатъчно мощни DDoS атаки.

Причината за разпространението на тези два зловреден софтуер се крие в сливането програмен кодкоито станаха достъпни за обществеността преди няколко години. Начинаещите киберпрестъпници веднага започнаха да измислят своите злонамерени програми въз основа на него.

В повечето случаи, поради некомпетентността на нападателите, клонингите Mirai и Gafgyt не представляват сериозни проекти и не носят значителни промени в техните възможности.

Най-новите варианти на ботнет мрежи обаче показват склонност към заразяване корпоративни устройства. В доклада на блок 42, команди Palo Alto Networks, се казва, че новите образци на Mirai и Gafgyt са добавили редица нови подвизи към своя арсенал, които използват стари уязвимости.

Mirai сега атакува системи, работещи с Apache Struts без корекции (по какъв начин беше хакнат миналата година). Корекцията за недостатъка CVE-2017-5638 съществува от повече от година, но, разбира се, не всички са актуализирали своите инсталации.

Общо на Mirai този момент 16 експлойта, повечето от които са предназначени да компрометират устройства като рутери, NVR и различни камери.

Gafgyt (известен също като Baslite) също атакува бизнес оборудване, насочено към наскоро откритата уязвимост CVE-2018-9866. Този критичен пропуск в сигурността засяга неподдържаните версии на глобалната система за управление (GMS) от SonicWall. Изследователите от блок 42 записаха нови проби на 5 август, по-малко от седмица след публикуването на модула. Metasploitза тази уязвимост.

Устройствата, засегнати от Gafgyt, могат да сканират друг хардуер за различни видове проблеми със сигурността, както и да ги атакуват с известни експлойти. Друг тип атака, която този зловреден софтуер може да извърши, е Blacknurse, която е ICMP атака, която силно засяга използването на процесора, което води до отказ на услуга.

Експертите също установиха, че тези два нови варианта на ботнет се хостват на един и същи домейн. Това доказва, че зад тях стои същият киберпрестъпник или група от тях.

В края на миналия месец съобщихме, че. Такива данни са представени в доклада на Global Threat Index за юли 2018 г.

И този месец органите на реда разкриха самоличността зад един от най-известните приемници на Mirai, Satori. Оказа се, че срещу киберпрестъпника в момента има повдигнати обвинения.