Zdrojový kód Mirai. Botnetové siete: ako to funguje a ako zarábajú peniaze

Útoky botnetov Mirai na amerického poskytovateľa DNS Dyn v roku 2016 vyvolali širokú rezonanciu a pritiahli zvýšenú pozornosť k botnetom. V porovnaní s tým, ako dnes moderní kyberzločinci využívajú botnety, však útoky na Dyn môžu pôsobiť ako detinské žarty. Zločinci sa rýchlo naučili používať botnety na spustenie sofistikovaného malvéru, ktorý by mohol vytvoriť celú infraštruktúru infikovaných počítačov a iných zariadení s pripojením na internet, aby generovali nelegálne zisky vo veľkom meradle.

IN posledné roky presadzovania práva dosiahli určitý pokrok v boji proti trestnej činnosti súvisiacej s botnetmi, no toto úsilie zatiaľ určite nestačí na to, aby došlo k dostatočnému narušeniu botnetov prevádzkovaných kyberzločincami. Tu je niekoľko známych príkladov:

  • Americké ministerstvo spravodlivosti obvinilo dvoch mladých ľudí za ich úlohu pri vývoji a prevádzke botnetu Mirai: Paras Jha, 21, a Josiah White, 20. Obvinení sú z organizovania a vykonávania DDoS útokov na spoločnosti a následne z požadovania výkupného za ich zastavenie, ako aj z predaja „služieb“ týmto spoločnostiam, aby v budúcnosti zabránili podobným útokom.
  • Španielske úrady v rámci cezhraničnej operácie na žiadosť Spojených štátov zatkli obyvateľa Petrohradu Petra Levašova, v kruhoch kyberzločincov známeho ako Peter Severa. Prevádzkoval Kelihos, jeden z najdlhšie fungujúcich botnetov na internete, ktorý podľa odhadov infikoval asi 100 000 počítačov. Okrem vydierania Petr Levashov aktívne využíval Kelihos na organizovanie spamových e-mailov, pričom si účtoval 200 – 500 dolárov za milión správ.
  • Minulý rok boli zatknutí dvaja izraelskí tínedžeri pre obvinenia z organizovania DDoS útokov za odmenu. Dvojici sa podarilo zarobiť približne 600 000 dolárov a vykonať približne 150 000 DDoS útokov.

Botnety sú počítačové siete pozostávajúce z veľkého množstva počítačov alebo iných zariadení pripojených na internet, na ktoré sa bez vedomia ich vlastníkov sťahuje a spúšťa autonómny softvér – boti. Zaujímavé je, že samotné roboty boli pôvodne vyvinuté ako softvérové ​​nástroje na automatizáciu nekriminálnych opakujúcich sa a opakujúcich sa úloh. Je iróniou, že jeden z prvých úspešných robotov, známy ako Eggdrop a vytvorený v roku 1993, bol navrhnutý na kontrolu a ochranu kanálov IRC (Internet Relay Chat) pred pokusmi tretích strán prevziať nad nimi kontrolu. Ale kriminálne živly sa rýchlo naučili využívať silu botnetov a používali ich ako globálne, takmer automatické, ziskové systémy.

Počas tejto doby sa malvér botnetov výrazne vyvinul a teraz sa môže používať rôzne metódyútoky, ktoré sa vyskytujú súčasne vo viacerých smeroch. „Ekonomika robotov“ navyše z pohľadu kyberzločincov vyzerá mimoriadne atraktívne. Po prvé, neexistujú prakticky žiadne náklady na infraštruktúru, pretože kompromitované počítače a iné zariadenia s podporou internetu sa používajú na organizáciu siete infikovaných strojov, samozrejme, bez vedomia vlastníkov týchto zariadení. Toto oslobodenie od investícií do infraštruktúry znamená, že zisky zločincov sa budú prakticky rovnať ich príjmom z nelegálnych aktivít. Okrem možnosti využívať takúto „ziskovú“ infraštruktúru je pre kyberzločincov mimoriadne dôležitá aj anonymita. Pri požadovaní výkupného na to využívajú najmä „nevystopovateľné“ kryptomeny ako Bitcoin. Z týchto dôvodov sa botnety stali preferovanou platformou pre počítačovú kriminalitu.

Z pohľadu implementácie rôznych obchodných modelov sú botnety výbornou platformou na spúšťanie rôznych škodlivých funkcionalít, ktoré kyberzločincom prinášajú nelegálne príjmy:

  • Rýchla a rozsiahla distribúcia e-maily obsahujúci ransomvér, ktorý vyžaduje výkupné.
  • Ako platforma na stiahnutie počtu kliknutí na odkaz.
  • Otváranie proxy serverov pre anonymný prístup na internet.
  • Implementácia pokusov nabúrať sa do iných internetových systémov pomocou brute-force search (alebo „hrubej sily“).
  • Holding hromadné zásielky e-maily a hosťovanie falošných stránok pre rozsiahly phishing.
  • Odobratie CD kľúčov alebo iných licenčných údajov pre softvér.
  • Krádež osobných identifikačných údajov.
  • Získanie informácií o kreditnej karte a iných bankových účtoch vrátane PIN alebo „tajných“ hesiel.
  • Inštalácia keyloggery na zachytenie všetkých údajov, ktoré používateľ zadá do systému.

Ako vytvoriť botnet?

Dôležitým faktorom, ktorý v dnešnej dobe prispieva k popularite používania botnetov medzi kyberzločincami, je relatívna jednoduchosť, s akou je možné zostaviť, zmeniť a vylepšiť rôzne komponenty škodlivého systému. softvér botnet. Príležitosť pre rýchla tvorba Botnet sa objavil už v roku 2015, kedy verejný prístup Ukázalo sa, že ide o zdrojové kódy LizardStresser, sady nástrojov na vykonávanie DDoS útokov, ktorú vytvorila známa hackerská skupina Lizard Squad. Stiahnite si botnet na vedenie DDOS útoky dnes môže každý školák (čo už podľa správ z celého sveta robí).

Ľahko stiahnuteľný a ľahko použiteľný kód LizardStresser obsahuje niektoré sofistikované metódy na vykonávanie DDoS útokov: udržiavanie TCP spojení otvorené, odosielanie náhodných nevyžiadaných reťazcov na port TCP alebo UDP alebo opätovné odosielanie paketov TCP s danými hodnotami príznakov. Malvér obsahoval aj mechanizmus na náhodné spúšťanie príkazov shellu, čo je mimoriadne užitočné pri sťahovaní aktualizovaných verzií LizardStresser s novými príkazmi a aktualizovaným zoznamom monitorovaných zariadení, ako aj pri inštalácii iného malvéru na infikované zariadenie. Odvtedy zdrojové kódy pre iné malvér na organizáciu a kontrolu botnetov, medzi ktoré patrí predovšetkým softvér Mirai, ktorý dramaticky znížil „high-tech bariéru“ začiatku trestnej činnosti a zároveň zvýšil možnosti zisku a flexibility v používanie botnetov.

Ako sa internet vecí (IoT) stal Klondikeom na vytváranie botnetov

Z hľadiska počtu infikovaných zariadení a návštevnosti, ktorú generujú počas útokov, malo masívne používanie nezabezpečených zariadení internetu vecí explozívny efekt, ktorý viedol k vzniku botnetov v bezprecedentnom rozsahu. Takže napríklad v lete 2016, pred a bezprostredne počas olympijských hier v Riu de Janeiro, jeden z botnetov vytvorených na programový kód LizardStresser primárne používal asi 10 000 infikovaných zariadení internetu vecí (predovšetkým webové kamery) na vykonávanie početných a trvalých útokov DDoS s trvalou silou viac ako 400 Gbps, pričom počas svojho vrcholu dosiahol rýchlosť 540 Gbps. Poznamenávame tiež, že podľa odhadov bol pôvodný botnet Mirai schopný kompromitovať približne 500 tisíc zariadení internetu vecí po celom svete.

Aj keď mnohí predajcovia od týchto útokov urobili určité zmeny, väčšina zariadení internetu vecí sa stále dodáva s predvolenými nastaveniami používateľského mena a hesla alebo so známymi bezpečnostnými chybami. Niektorí výrobcovia navyše s cieľom ušetriť čas a peniaze pravidelne duplikujú hardvér a softvér používaný pre rôzne triedy zariadení. Výsledkom je, že predvolené heslá používané na ovládanie pôvodného zariadenia možno použiť na mnoho úplne odlišných zariadení. Takto sú už nasadené miliardy nezabezpečených zariadení internetu vecí. A hoci sa predpovedaný rast ich počtu spomalil (aj keď mierne), očakávaný nárast globálnej flotily „potenciálne nebezpečných“ IoT zariadení v dohľadnej budúcnosti nemôže len šokovať (pozri graf nižšie).

Mnoho zariadení internetu vecí je skvelých na neoprávnené použitie ako súčasť zločineckých botnetov, pretože:

  • Z veľkej časti sú nezvládnuteľné, inými slovami fungujú bez náležitej kontroly zvonku. systémový administrátor, vďaka čomu je ich používanie ako anonymných proxy serverov mimoriadne efektívne.
  • Zvyčajne sú online 24x7, čo znamená, že sú kedykoľvek k dispozícii pre útoky a spravidla bez akýchkoľvek obmedzení šírku pásma alebo filtrovanie návštevnosti.
  • Často používajú skrátenú verziu operačného systému založenú na rodine Linux. Malvér botnetov sa dá ľahko skompilovať pre široko používané architektúry, najmä ARM/MIPS/x86.
  • skrátený operačný systém automaticky znamená menej príležitostí pre bezpečnostné funkcie, vrátane hlásení, takže väčšina hrozieb zostane bez povšimnutia vlastníkov týchto zariadení.

Tu je ďalší nedávny príklad, ktorý pomôže pochopiť silu, ktorú môžu mať moderné zločinecké infraštruktúry botnetov: v novembri 2017 botnet Necurs vyslal nový kmeň vírusu Scarab ransomware. V dôsledku masovej kampane bolo odoslaných asi 12,5 milióna infikovaných e-mailov, to znamená, že rýchlosť distribúcie bola viac ako 2 milióny e-mailov za hodinu. Mimochodom, rovnaký botnet bol videný pri šírení bankových trójskych koní Dridex a Trickbot, ako aj ransomvérových vírusov Locky a Jans.

závery

Vysoká dostupnosť a jednoduchosť používania sofistikovanejšieho a flexibilnejšieho botnetového malvéru v posledných rokoch spolu s výrazným nárastom počtu nezabezpečených zariadení internetu vecí urobili z kriminálnych botnetov kľúčovú zložku rastúcej digitálnej podzemnej ekonomiky. V tejto ekonomike existujú trhy pre nezákonné údaje, zlomyseľné akcie proti konkrétnym cieľom pri poskytovaní služieb na prenájom a dokonca aj pre ich vlastnú menu. A všetky prognózy analytikov a bezpečnostných expertov znejú mimoriadne sklamaním – v dohľadnej dobe sa situácia so zneužívaním botnetov na nelegálne zisky len zhorší.

Večný paranoik, Anton Kochukov.


Pozri tiež:

S rastúcou popularitou a rozsahom internetu vecí začali útočníci využívať jeho zariadenia ako platformu na organizovanie najsilnejších kybernetických útokov. Závažnosť a počet významných bezpečnostných incidentov zahŕňajúcich takéto zariadenia ukázali, že sú najslabším článkom v bezpečnostnom reťazci moderných počítačové siete. A hoci výpočtový výkon väčšiny subjektov internetu vecí zďaleka nedosahuje možnosti PC, jeho nedostatok doháňa množstvo zariadení spojených do jedného celku. Všetky sú neustále pripojené k sieti a často sa pri práci v továrenskej konfigurácii stávajú chutným kúskom pre sušienky. Obrovský počet, široká distribúcia a slabé zabezpečenie IoT zariadení už prilákali mnohých útočníkov, ktorí ich aktívne využívajú na spúšťanie DDoS útokov.

„Budúcnosť“ je už tu

Nedávnym známym príkladom je botnet Mirai (v japončine „budúcnosť“. Poznámka. vyd.), prvýkrát objavený v auguste 2016 výskumným tímom MalwareMustDie. Samotný malvér, ako aj jeho početné varianty a imitátory sa stali zdrojom najsilnejších DDoS útokov v histórii IT priemyslu.

V septembri 2016 bola webová stránka poradcu na počítačová bezpečnosť Brian Krebs začal prijímať prenos rýchlosťou 620 Gb/s, čo je rádovo vyššia úroveň ako úroveň, pri ktorej väčšina stránok zlyháva. Približne v rovnakom čase zasiahol ešte silnejší útok Mirai DDoS (1,1 Tbps) OVH, francúzskeho poskytovateľa webhostingových služieb a cloudové služby. Čoskoro bol zverejnený zdrojový kód malvéru, po ktorom si útočníci začali na jeho základe prenajímať botnety obsahujúce až 400 000 zariadení. Nasledovala séria útokov na Mirai, z ktorých najznámejší, organizovaný proti poskytovateľovi služieb Dyn, v októbri 2016 na niekoľko hodín deaktivoval stovky stránok vrátane Twitteru, Netflixu, Redditu a GitHubu.

Mirai sa zvyčajne šíri tak, že najprv infikuje webové kamery, DVR, smerovače atď., ktoré používajú jednu verziu BusyBoxu. Malvér potom zistí administratívne poverenia iných zariadení internetu vecí jednoduchou hrubou silou pomocou malého slovníka generických predajcov. sieťové zariadenia dvojice "meno-heslo".

Mutácie Mirai sa následne začali objavovať doslova na dennej báze a to, že si zachovali schopnosť reprodukovať sa a spôsobovať škody pomocou rovnakých metód ako originál, svedčí o chronickom zanedbávaní výrobcov IoT zariadení s najjednoduchšími spôsobmi ochrany. Je iróniou, že botnety vytvorené z takýchto zariadení sú málo preskúmané, napriek nebezpečenstvu, že čoraz sofistikovanejšie útoky na nich založené majú potenciál podkopať celú infraštruktúru internetu.

Ako funguje Mirai

Mirai spúšťa DDoS útok proti cieľovým serverom a aktívne sa šíri cez IoT zariadenia s nezabezpečenou konfiguráciou.

Hlavné komponenty

Botnet Mirai má štyri hlavné komponenty. Bot je malvér, ktorý infikuje zariadenia a šíri „infekciu“ medzi nesprávne nakonfigurovanými zariadeniami a potom zaútočí na cieľový server, keď dostane príslušný príkaz od botmastera – osoby, ktorá robotov ovláda. Príkazový a riadiaci server poskytuje botmasterovi rozhranie na kontrolu stavu botnetu a iniciovanie nových DDoS útokov. Komunikácia medzi prvkami infraštruktúry botnetu sa zvyčajne uskutočňuje prostredníctvom anonymu Sieť Tor. Loader distribuuje spustiteľné súbory pre všetky hardvérové ​​platformy (celkovo 18 vrátane ARM, MIPS, x86 atď.) prostredníctvom priameho kontaktu s novými obeťami. Reportovací server udržiava databázu informácií o všetkých zariadeniach v botnete a novo infikovaní hostitelia zvyčajne komunikujú priamo s týmto serverom.

Schéma činnosti a komunikácie v botnete

Mirai najprv skenuje porty 23 a 2323 a hľadá náhodné verejné IP adresy. Niektoré adresy sú vylúčené (pravdepodobne preto, aby nepútali pozornosť vládnych agentúr) – napríklad adresy patriace americkej pošte, Pentagonu, IANA, ale aj General Electric a Hewlett-Packard. Na obr. 1 znázorňuje hlavné fázy činnosti a výmeny údajov v botnete.

1. fáza Robot vykonáva útok hrubou silou extrahovaním poverení zariadení internetu vecí, ktoré neboli obnovené z výroby. V slovníku Mirai existuje 62 možných párov používateľské meno/heslo.

2. fáza Po nájdení pracovných poverení a ich použití na získanie prístupu príkazový riadok alebo grafický používateľské rozhranie robot prenáša svoje charakteristiky na server správ cez iný port.

3. fáza Botmaster pravidelne kontroluje potenciálne ciele a aktuálny stav botnetu komunikáciou so serverom správ cez Tor.

4. fáza Po výbere zraniteľných zariadení, ktoré sa majú infikovať, botmaster vydá príslušné príkazy pre downloader so všetkými potrebnými podrobnosťami, vrátane IP adries a informácií o hardvérovej architektúre.

5. fáza Sťahovač sa prihlási do zraniteľného zariadenia a prinúti ho stiahnuť a spustiť príslušný spustiteľný malvér. Zvyčajne sa sťahovanie vykonáva pomocou nástroja GNU Wget pomocou protokolu TFTP. Je pozoruhodné, že po spustení malvéru sa snaží chrániť pred konkurentmi blokovaním portov, cez ktoré často dochádza k infekcii, vrátane Telnetu a SSH. V tejto fáze môže novovytvorená inštancia robota už komunikovať s riadiacim serverom a prijímať od neho príkazy na spustenie útoku. Robí to rozlíšením názvu domény napevno zakódovaného do spustiteľného súboru (predvolené v Mirai je cnc.changeme.com). Táto metóda, používaná namiesto priameho prístupu k IP adrese, umožňuje botmasterovi zmeniť IP adresy riadiaceho servera bez úpravy binárnych súborov a dodatočnej výmeny informácií.

6. fáza Správca botov dáva pokyn všetkým inštanciám robota, aby začali útok proti cieľovému serveru a odovzdali príslušné parametre cez príkazový a riadiaci server, vrátane typu a trvania útoku, ako aj IP adresy samotného servera a robota. prípadov.

7. fáza. Boti začnú útočiť na cieľ pomocou jednej z tucta dostupných metód, vrátane zaplavenia pomocou zapuzdrenia všeobecného smerovania, protokolov TCP a HTTP.

Charakteristika Mirai

Na rozdiel od iného podobného malvéru sa Mirai nesnaží vyhnúť detekcii. Takmer všetky štádiá infekcie majú charakteristické znaky, ktoré možno rozpoznať pomocou jednoduchej sieťovej analýzy: vymenovanie určitých poverení cez určité porty; odosielanie prispôsobených správ; načítanie špecifických binárnych súborov; správy na udržanie spojenia; prenos riadiacich príkazov s charakteristickou štruktúrou; takmer úplná absencia náhodných prvkov v útočnej prevádzke.

Na obr. Obrázok 2 zobrazuje štandardné režimy komunikácie medzi bootloaderom Mirai a zariadením IoT, ktoré je už infikované, ale ešte nie je napadnuté. Trvanie relácií sa líši, ale typy a veľkosti paketov, ako aj postupnosť správ sa riadia vzormi, ktoré naznačujú infekciu týmto konkrétnym malvérom.

Mirai varianty

Zdalo by sa, že zverejnenie zdrojového kódu Mirai a jeho relatívne hlasný sieťový šum mali viesť k rýchlemu vzniku účinných rozpoznávacích a ochranných mechanizmov. To sa však nestalo: len dva mesiace po vydaní zdrojového kódu sa počet inštancií botov viac ako zdvojnásobil, z 213 tisíc na 493 tisíc, a objavilo sa veľké množstvo jeho odrôd. Dokonca aj viac ako rok po objavení Mirai roboty stále používali slabé konfigurácie zariadení rovnakého typu, ako boli pôvodne.

Väčšina infekcií Mirai sa vyskytuje prostredníctvom portov TCP 23 alebo 2323, ale v novembri 2016 sa našli kmene vírusu, ktoré pristupujú k iným portom, vrátane 7547, ktoré používajú poskytovatelia internetových služieb. diaľkové ovládanie klientske smerovače. V tom istom mesiaci jeden z týchto variantov Mirai nechal takmer milión predplatiteľov Deutsche Telekom bez prístupu na web.

Vo februári 2017 bol s použitím variantu Mirai uskutočnený 54-hodinový DDoS útok proti jednej z amerických vysokých škôl. Nasledujúci mesiac sa objavil ďalší variant, tentoraz so zabudovanými zariadeniami na ťažbu bitcoinov, aj keď sa odhadovalo, že používanie zariadení IoT na tento účel pravdepodobne neprinesie veľké príjmy.

V apríli sa začala aktivita na Persirai, ďalšom botnete postavenom pomocou kódovej základne Mirai. Túto zombie sieť objavili výskumníci Trend Micro, ktorí jej dali meno spojením slov Perzský a Mirai – prvý z nich bol vybraný na základe údajného iránskeho pôvodu malvéru. Pokúša sa o prístup k rozhraniu správy webových kamier určitých výrobcov na porte TCP 81. Ak sa to podarí, infiltruje smerovač pomocou zraniteľnosti UPnP a potom stiahne, spustí a odstráni ďalšie binárne súbory. Namiesto hrubého vynútenia prihlasovacích údajov na vstup do rozhrania fotoaparátu vírus používa chybu zero-day na priame získanie súboru s heslami. Distribuovaný útok DoS sa vykonáva zaplavením protokolu UDP. Podľa odhadov bolo na webe asi 120 000 zariadení, ktoré boli zraniteľné voči Persirai.

Iné IoT botnety

Spoliehajúc sa na základné princípy Mirai, tvorcovia nového malvéru začali používať iné, sofistikovanejšie mechanizmy na zvýšenie výkonu a maskovanie aktivity zombie sietí.

V auguste 2016 výskumníci z MalwareMustDie informovali o prvom botnete založenom na IoT postavenom pomocou skriptovacieho jazyka Lua. Väčšinu botnetovej armády tvorili káblové modemy s procesormi ARM so systémom Linux. Malvér má komplexné funkcie- napríklad vytvorí šifrovaný kanál na výmenu údajov s riadiacim serverom a nastaví špeciálne pravidlá iptables na ochranu infikovaných zariadení pred konkurenciou.

Botnet Hajime, objavený v októbri 2016 spoločnosťou Rapidity Networks, používa metódu infekcie podobnú Mirai. Namiesto centralizovanej architektúry sa však Hajime spolieha na distribuovaný komunikačný systém, ktorý používa protokol BitTorrent Distributed Hash Tag (DHT) na objavovanie peerov (používateľov siete peer) a na výmenu údajov používa transportný protokol uTorrent. Všetky správy sú šifrované pomocou protokolu RC4. Hajime sa zatiaľ neosvedčil negatívna stránka naopak, rieši potenciálne zdroje zraniteľností v zariadeniach internetu vecí používaných botnetmi ako Mirai, čo vedie k názoru, že ho vytvoril nejaký „Robin Hood“. Skutočný účel botnetu však zostal záhadou.

Botnet BrickerBot, ktorý podobne ako Mirai infikuje softvér BusyBox, objavili odborníci z Radware v apríli 2017. Pomocou predvolených poverení SSH, ako aj nesprávnych konfigurácií a známych zraniteľností sa malvér pokúša spustiť útoky Permanent Denial of Service (PDoS) proti zariadeniam internetu vecí, ktoré sú dostatočne deštruktívne na to, aby si vynútili rekonfiguráciu alebo výmenu zariadenia. BrickerBot poškodí firmvér zariadenia, odstráni súbory v nich a zmení nastavenia siete.

Lekcie

Obrovské škody spôsobené útokmi Mirai, jeho variantov a podobných botnetov jasne demonštrovali riziká, ktoré predstavujú zariadenia internetu vecí. World Wide Web. Dnes sú celkom jednoduché vírusy schopné prevziať kontrolu nad takýmito zariadeniami a vytvárať obrovské deštruktívne armády „zombie“. Útočníkov zároveň priťahuje jednoduchosť rastu populácie botov. Existuje päť hlavných dôvodov, prečo sú IoT zariadenia obzvlášť výhodné na vytváranie botnetov.

  1. Neustála, ničím nerušená aktivita. Na rozdiel od notebookov a stolných počítačov, ktoré sa často zapínajú a vypínajú, mnohé zariadenia internetu vecí (ako sú webové kamery a Wi-Fi smerovače) pracujú nepretržite a majitelia ich často vnímajú ako zariadenia, ktoré nemôžu byť náchylné na infekcie.
  2. Nedostatok ochrany. V snahe vstúpiť na trh internetu vecí mnohí výrobcovia zariadení zanedbávajú bezpečnosť v prospech pohodlia a jednoduchosti používania.
  3. Nedostatok kontroly. Väčšina zariadení IoT sa používa na princípe „nastav a zabudni“ – po prvotnom nastavení sa im správcovia systému môžu venovať iba vtedy, ak prestanú správne fungovať.
  4. Pôsobivá útoková prevádzka. Zariadenia IoT sú dnes dostatočne výkonné a dobre umiestnené na to, aby generovali návštevnosť DDoS útokov rovnako výkonnú ako dnešné desktopy.
  5. Neinteraktívne alebo minimálne interaktívne používateľské rozhrania. Keďže zariadenia internetu vecí zvyčajne vyžadujú minimálny zásah používateľa, infekcia pravdepodobne zostane neodhalená. Ale aj keď si to všimnete, používatelia nie sú k dispozícii jednoduchými spôsobmi odstránenie malvéru, okrem fyzickej výmeny zariadenia.

Nástup DDoS útokov uskutočňovaných zariadeniami internetu vecí bol už dlho predpovedaný a dnes počet čoraz sofistikovanejších variantov a napodobenín Mirai narastá alarmujúcou rýchlosťou. Takýto malvér je zvyčajne schopný fungovať na mnohých platformách a keďže sa vyznačuje nízkou spotrebou zdrojov, môže sa uspokojiť s minimom Náhodný vstup do pamäťe. Okrem toho je postup infekcie relatívne jednoduchý, vďaka čomu je každé zraniteľné zariadenie kandidátom na premenu na zombie, aj keď sa často reštartuje. Väčšinu škodlivého softvéru internetu vecí, ktorý dnes existuje, možno ľahko odhaliť a analyzovať, no nové roboty sú čoraz nenápadnejšie.

Väčšinu zodpovednosti za DDoS útoky zvyčajne nesú samotní používatelia a správcovia systému, ktorí zanedbávajú základné opatrenia. V prípade IoT botnetov však celú zodpovednosť nesú výrobcovia, ktorí vyrábajú slabo chránené produkty s továrenskými nastaveniami. vzdialený prístup. Okrem toho iba výrobcovia zariadení internetu vecí majú možnosť automaticky poskytovať vlastné bezpečnostné aktualizácie na ochranu pred infekciami. Konvenčné postupy manuálneho zabezpečenia, ako sú časté zmeny hesiel, nie sú pre zariadenia internetu vecí možné, pretože zariadenia internetu vecí sa v sieti samoregulujú. Preto si dnes internet vecí vyžaduje technické prostriedky bezpečnostné kontroly a robustné štandardy ochrany zariadení, ktoré musia dodržiavať všetci predajcovia.

Geoffrey Voas ( [chránený e-mailom]) je členom IEEE.

Constantinos Kolias, Georgios Kambourakis, Angelos Stavrou, Jefrey Voas, DDoS v IoT: Mirai a iné botnety. IEEE Computer, júl 2017, IEEE Computer Society. Všetky práva vyhradené. Pretlačené so súhlasom.

Minulý mesiac došlo k útokom na veľké stránky ako napr Twitter alebo Spotify, ktoré ich dočasne deaktivovalo. Na tento účel bol použitý botnet. Mirai, združuje 400-500 tisíc zariadení internetu vecí. Teraz sa novinári základnej dosky dozvedeli, že dvom hackerom sa podarilo zmocniť sa kontroly nad botnetom a vytvoriť jeho novú verziu – integruje už milión zariadení. Jeho silu zažili predplatitelia nemeckého poskytovateľa Deutsche Telekom, ktorej sieť vypadla minulý víkend.

Lov na Mirai

Novinárom sa podarilo porozprávať s jedným z týchto dvoch záhadných hackerov – používa prezývku BestBuy. V šifrovanom online rozhovore im povedal, že medzi hackermi sa rozpútal skutočný boj o kontrolu nad Mirai. V jeho softvéri bola nedávno objavená zraniteľnosť. Jeho použitie v spojení s rýchlosťou by umožnilo BestBuy a jeho partnerovi Popopret prevziať kontrolu nad väčšinou botnetu a doplniť ho o nové zariadenia.

Naši odborníci predtým študovali kód botnetu Mirai – ukázalo sa, že nebol vytvorený špeciálne pre zariadenia internetu vecí. Škodlivý softvér hľadá zariadenia pripojené k sieti s predvolenými prihlasovacími údajmi a heslami (admin:admin, root:password atď.). To znamená, že teoreticky môže zahŕňať akékoľvek zariadenie vrátane domácich počítačov a serverov alebo smerovačov.

IoT zariadenia- zvyčajne smerovače - sú súčasťou botnet Mirai kým sa nereštartuje - potom sa červ vymaže z ich pamäte. Botnet však neustále prehľadáva internet, či neobsahuje zraniteľné zariadenia, takže „vyliečené“ zariadenie sa môže opäť rýchlo stať jeho súčasťou. Medzi hackermi prebiehajú skutočné preteky v tom, kto ako prvý infikuje čo najviac zariadení.

Chýbajú informácie o tom, ako sa tvorcom nového Mirai darí predbiehať konkurentov. Novinárom však povedali, že používajú svoj vlastný botnet na skenovanie potenciálne zraniteľných zariadení vrátane tých, ktoré boli predtým súčasťou botnetu.

„Prečo neprinútiť Mirai loviť Mirai a hltať originál,“ hovorí BestBuy.

Nielen Mirai

Nový botnet však nepohltil len staré zariadenia od Mirai a nové s predvolenými heslami. Jeho tvorcovia využívajú aj 0-dňové zraniteľnosti vo firmvéri IoT zariadení. Odborníci už skôr predpovedali skorý výskyt takýchto „kombinovaných“ botnetov.

Boj proti nim sa výrazne skomplikuje - ak používateľ koncového zariadenia potrebuje iba zmeniť používateľské meno a heslo, aby mohol čeliť samotnému Mirai, nebude sa môcť vyrovnať so zraniteľnosťami modulu gadget.

DDoS rýchlosťou 700 Gbps

Hackeri BestBuy a Popopret začali inzerovať svoje služby - ponúkajú prístup k svojim Nová verzia Mirai posiela spamové správy cez XMPP/Jabber,

Podľa hackera ponúkajú zákazníkovi niekoľko balíkov služieb. Lacnejšia hodnota $2 000 - za tieto peniaze si zákazníci môžu prenajať od 20 000 až 25 000 uzly botnetu na spustenie hliadok v období až dvoch týždňov s prestávkou medzi útokmi pätnásť minút. vzadu $15 000 alebo $20 000 zákazníci dostanú možnosť už 600 000 robotov spustiť dvojhodinové útoky s 30 alebo 15-minútovými prestávkami. V druhom prípade bude sila útoku 700 Gbps alebo viac.

vyhliadky

Bezpečnosť IoT zariadenia je často na dosť nízkej úrovni – je to spôsobené tým, že predajcovia často nemajú záujem zavádzať dodatočné opatrenia informačná bezpečnosť. Inzerujú jednoduchosť používania svojich produktov a všetky dodatočné opatrenia na bezpečnosť informácií ukladajú obmedzenia a vyžadujú zdroje.

Ako už bolo spomenuté vyššie, pred pokročilejšími botnetmi môžu používateľov chrániť iba vývojári koncových zariadení alebo poskytovatelia, ktorí ich poskytujú (v prípade smerovačov). Nemecký ISP Deutsche Telekom, ktorého zasiahla nová verzia Mirai, už oznámil, že „prehodnotí obchodné vzťahy“ s dodávateľmi zraniteľných routerov. speedport, spoločnosť arkádsky.

V konečnom dôsledku bude možné zvýšiť úroveň bezpečnosti internetu vecí zavedením prísnejšej kontroly zariadení zo strany poskytovateľov na jednej strane a vypracovaním štandardov a regulačnej dokumentácie pre internet vecí na strane druhej. Podobné opatrenia už boli prijaté v mnohých krajinách na zaistenie bezpečnosti APCS. Prvé kroky v tomto smere už boli podniknuté – napríklad viacerí IT predajcovia zverejnili v septembri dokument s názvom Priemyselná internetová bezpečnosť Rámec (IISF)- navrhuje považovať internet vecí za súčasť "priemyselného internetu".

Konečné riešenie problému je však stále ďaleko a hackeri Best Buy a Popopret môže získať monopol na veľké DDoS útoky online. To je dosť smutný fakt, ale samotní zlodeji sa počas rozhovoru s matičnej doske vyhlásil, že sa pri svojej činnosti budú riadiť nielen ziskom, ale aj morálnymi zásadami. BestBuy teda uviedol, že nedovolí zákazníkom útočiť na IP adresy spoločností pracujúcich s kritickou infraštruktúrou.

Dva najznámejšie a najrozšírenejšie IoT botnety – Mirai a Gafgyt – sa naďalej „množia“. Boli objavené nové varianty tohto malvéru, ktoré sa zameriavajú na firemný sektor. Hlavné nebezpečenstvo týchto kybernetických hrozieb spočíva v dobre organizovaných a dostatočne silných DDoS útokoch.

Dôvod prevalencie týchto dvoch malvérov spočíva v zlúčení zdrojový kód ktoré sa verejnosti sprístupnili pred niekoľkými rokmi. Začínajúci kyberzločinci začali na jeho základe okamžite vymýšľať svoje škodlivé programy.

Vo väčšine prípadov, kvôli neschopnosti útočníkov, klony Mirai a Gafgyt nepredstavovali žiadne vážne projekty a nepriniesli výrazné zmeny vo svojich schopnostiach.

Najnovšie varianty botnetov však preukázali tendenciu infikovať firemné zariadenia. V správe Jednotka 42 rozkazy Palo Alto Networks, hovorí sa, že nové vzorky Mirai a Gafgyt pridali do svojho arzenálu množstvo nových exploitov, ktoré využívajú staré zraniteľnosti.

Mirai teraz útočí na systémy s neoplateným Apache Struts (takto bol hacknutý minulý rok). Oprava chyby CVE-2017-5638 existuje už viac ako rok, ale, samozrejme, nie každý aktualizoval svoje inštalácie.

Mirai je celkom tento moment 16 exploitov, z ktorých väčšina je navrhnutá tak, aby kompromitovala zariadenia, ako sú smerovače, NVR a rôzne kamery.

Gafgyt (tiež známy ako Baslite) útočí aj na obchodné vybavenie a zameriava sa na nedávno objavenú zraniteľnosť CVE-2018-9866. Táto kritická bezpečnostná chyba ovplyvňuje nepodporované verzie systému globálnej správy (GMS) od SonicWall. Výskumníci z jednotky 42 zaznamenali nové vzorky 5. augusta, menej ako týždeň po zverejnení modulu. Metasploit pre túto zraniteľnosť.

Zariadenia ovplyvnené Gafgytom môžu skenovať iný hardvér na rôzne druhy bezpečnostných problémov a tiež na ne útočiť pomocou známych exploitov. Ďalším typom útoku, ktorý môže tento malvér vykonať, je Blacknurse, čo je útok ICMP, ktorý výrazne ovplyvňuje využitie procesora, čo vedie k odmietnutiu služby.

Odborníci tiež zistili, že tieto dva nové varianty botnetov boli hosťované na rovnakej doméne. To dokazuje, že za nimi stojí rovnaký kyberzločinec alebo ich skupina.

Koncom minulého mesiaca sme informovali, že . Takéto údaje sú uvedené v správe Global Threat Index za júl 2018.

A tento mesiac orgány činné v trestnom konaní odhalili identitu jedného z najznámejších prijímačov Mirai, Satori. Ukázalo sa, že kyberzločinec momentálne čelí obvineniu.



Načítava...
Hore