Hogyan védje meg útválasztóját a Mirai botnet támadásai ellen

Szerző:
Tweet
Share
Share
Pin

A rosszindulatú támadók kibertámadásaik fokozására alkalmazott stratégia a botnetek használata.

A botnet olyan számítógépek hálózata, amelyeket rosszindulatú program fertőzött meg, és amelyeket egy rosszindulatú szereplő távolról vezérel. A fertőzött számítógépek egy csoportját irányító ilyen rosszindulatú szereplőt botpásztornak nevezik. Az egyes fertőzött eszközöket botoknak nevezzük.

A botpásztorok irányítják és irányítják a fertőzött számítógépek csoportját, lehetővé téve számukra, hogy sokkal nagyobb léptékű kibertámadásokat hajtsanak végre. A botneteket kiemelkedően használják nagyszabású szolgáltatásmegtagadás, adathalászat, spamtámadások és adatlopások esetén.

Az azóta elterjedt rosszindulatú programokra példa a Mirai Botnet rosszindulatú program, amely digitális eszközök eltérítésével nagyon nagy botneteket hoz létre. A Mirai egy rosszindulatú botnet, amely megcélozza és kihasználja a Linuxot futtató tárgyak internete (IoT) eszközeinek sebezhetőségeit.

Fertőzéskor a Mirai eltéríti az IoT-eszközt, és távirányítású bottá alakítja azt, amely egy botnet részeként használható hatalmas kibertámadások indítására. A Mirai C és GO használatával íródott.

A rosszindulatú program 2016-ban került előtérbe, amikor a DYN, a Domain Name System szolgáltató elleni elosztott szolgáltatásmegtagadási (DDOS) támadásban használták. A támadás megakadályozta, hogy az internetezők hozzáférjenek többek között olyan oldalakhoz, mint az Airbnb, az Amazon, a Twitter, a Reddit, a Paypal és a Visa.

A Mirai kártevők felelősek voltak a Krebs on Security kiberbiztonsági oldalt és az OVHCloud francia felhőalapú számítástechnikai vállalatot ért DDOS-támadásokért is.

Hogyan jött létre Mirai

A Mirai malware-t Paras Jha és Josiah White írták, akik akkoriban a húszas éveik elején járó diákok voltak, és egyben a ProTraf Solutions cég alapítói is, amely DDOS-csökkentési szolgáltatásokat kínált. A Mirai Malware C és Go programozási nyelvekkel készült.

Kezdetben az volt a céljuk a Mirai számára, hogy DDOS támadásokat használó, versengő Minecraft szervereket leküzdjenek, hogy több ügyfelet szerezhessenek a verseny megszüntetésével.

Használatuk Mirai számára ezután zsarolásra és zsarolásra terelődött. A duó DDOS-támadásokat indítana a vállalatok ellen, majd felkeresné azokat a cégeket, amelyeket megtámadtak, hogy DDOS-enyhítéseket ajánljanak fel.

  Mentse, jegyezze fel és ossza meg webes kivonatokat Androidon a Nimbus Clipper segítségével

A Mirai Botnet azután keltette fel a hatóságok és a kiberbiztonsági közösség figyelmét, hogy a Krebs on Security weboldal és az OVH elleni támadás megszüntetésére használták. Miközben a Mirai Botnet kezdett a címlapokra kerülni, az alkotók kiszivárogtatták a forráskódot a Mirai Botnetnek egy nyilvánosan elérhető hackerfórumon.

Ezzel valószínűleg megpróbálták elfedni a nyomaikat, és elkerülni, hogy felelősségre vonják a Mirai Botnet segítségével végrehajtott DDOS támadásokért. A Mirai Botnet forráskódját más kiberbűnözők használták fel, és ez a Mirai Botnet olyan változatainak létrehozásához vezetett, mint az Okiru, a Masuta és a Satori, valamint a PureMasuta.

A Mirai Botnet alkotóit azonban később elfogta az FBI. Azonban nem zárták be őket, hanem enyhébb büntetést kaptak, mert együttműködtek az FBI-val más kiberbűnözők elfogásában és a kibertámadások megakadályozásában.

Hogyan működik a Mirai Botnet

A Mirai Botnet támadása a következő lépéseket tartalmazza:

  • A Mirai Botnet először megvizsgálja az IP-címeket az interneten, hogy azonosítsa az Arc Processoron futó Linuxot futtató IoT-eszközöket. Ezután azonosítja és megcélozza azokat az eszközöket, amelyek nincsenek jelszóval védettek, vagy amelyek alapértelmezett hitelesítő adatokat használnak.
  • Miután azonosította a sérülékeny eszközöket, a Mirai számos ismert alapértelmezett hitelesítési adatot kipróbál, hogy hálózati hozzáférést szerezzen az eszközhöz. Ha az eszköz alapértelmezett konfigurációkat használ, vagy nincs jelszóval védett, a Mirai bejelentkezik az eszközre, és megfertőzi azt.
  • A Mirai Botnet ezután átvizsgálja az eszközt, hogy megállapítsa, nem fertőzte-e meg más rosszindulatú program. Abban az esetben, ha van, eltávolítja az összes többi rosszindulatú programot, így ez lesz az egyetlen rosszindulatú program az eszközön, így nagyobb ellenőrzést biztosít az eszköz felett.
  • A Mirai által fertőzött eszköz ezután a Mirai Botnet részévé válik, és távolról vezérelhető egy központi szerverről. Egy ilyen eszköz egyszerűen várja a központi szervertől érkező parancsokat.
  • A fertőzött eszközöket ezután más eszközök megfertőzésére használják, vagy egy botnet részeként használják nagyszabású DDOS-támadások végrehajtására webhelyek, szerverek, hálózatok vagy az interneten elérhető egyéb erőforrások ellen.
    •   A névjegyjavaslatok eltávolítása a megosztási lapról iPhone és iPad készüléken

    Érdemes megjegyezni, hogy a Mirai Botnet olyan IP-tartományokkal érkezett, amelyeket nem célzott vagy nem fertőzött meg. Ez magában foglalja az Egyesült Államok Védelmi Minisztériumához és az Egyesült Államok Postaszolgálatához rendelt magánhálózatokat és IP-címeket.

    A Mirai Botnet által megcélzott eszközök típusai

    A Mirai Botnet elsődleges célpontja az ARC processzorokat használó IoT-eszközök. Paras Jha, a Mirai bot egyik szerzője szerint a Mirai Botnet által fertőzött és használt IoT-eszközök többsége router volt.

    A Mirai Botnet potenciális áldozatainak listája azonban más IoT-eszközöket is tartalmaz, amelyek ARC processzorokat használnak.

    Ez magában foglalhatja az intelligens otthoni eszközöket, például biztonsági kamerákat, babafigyelőket, termosztátokat és okostévéket, hordható eszközöket, például fitneszkövetőket és órákat, valamint orvosi IoT-eszközöket, például glükózmonitorokat és inzulinpumpákat. Az ARC processzorokat használó ipari IoT-eszközök és orvosi IoT-eszközök is a Mirai botnet áldozatai lehetnek.

    Hogyan lehet észlelni a Mirai botnet fertőzést

    A Mirai Botnet-et úgy tervezték, hogy lopva tudjon támadni, ezért nem könnyű feladat annak észlelése, hogy az IoT-eszköze megfertőződött a Mirai Botnet-tel. Ezeket azonban nem könnyű felismerni. Keresse azonban a következő jelzőket, amelyek jelezhetik az IoT-eszköz lehetséges Mirai Botnet fertőzését:

    • Lelassult internetkapcsolat – A Mirai botnet az internet lelassulását okozhatja, mivel IoT-eszközeit DDOS-támadások indítására használják.
    • Szokatlan hálózati forgalom – Ha rendszeresen figyelemmel kíséri hálózati tevékenységét, a hálózati forgalom hirtelen megnövekedését vagy az ismeretlen IP-címekre küldött kéréseket észlelheti.
    • Csökkentett eszközteljesítmény – Az IoT-eszköz szuboptimális teljesítménye vagy szokatlan viselkedése, például önmagában történő leállás vagy újraindítás, egy lehetséges Mirai-fertőzés jelzése lehet.
    • Változások az eszközkonfigurációkban – A Mirai Botnet módosíthatja az IoT-eszközök beállításait vagy az alapértelmezett konfigurációkat, hogy megkönnyítse az eszközök jövőbeni kihasználását és vezérlését. Ha változásokat észlel IoT-eszközeinek konfigurációjában, és nem Ön felelős értük, az egy lehetséges Mirai Botnet fertőzésre utalhat.

    Bár vannak olyan jelek, amelyekre figyelnie kell, ha megtudhatja, hogy az eszköze fertőzött-e, előfordulhat, hogy nem veszi észre őket egyszerűen azért, mert a Mirai Botnet olyan módon készült, hogy nagyon nehéz észlelni. Ennek eredményeként a legjobb módja annak, hogy megakadályozzuk, hogy a Mirai Botnet megfertőzze IoT-eszközeit.

      Javítsa ki a Dota 2 lemezírási hibát

    Ha azonban azt gyanítja, hogy IoT-eszközt észleltek, válassza le azt a hálózatról, és csak a fenyegetés megszüntetése után csatlakoztassa újra.

    Hogyan védheti meg eszközeit a Mirai Botnet fertőzéstől

    A Mirai Botnet kulcsfontosságú stratégiája az IoT-eszközök megfertőzésében egy csomó jól ismert alapértelmezett konfiguráció tesztelése, hogy kiderüljön, a felhasználók továbbra is az alapértelmezett konfigurációkat használják-e.

    Ha ez a helyzet, a Mirai bejelentkezik, és megfertőzi az eszközöket. Ezért az IoT-eszközök Mirai Botnet elleni védelmének egyik fontos lépése az alapértelmezett felhasználónevek és jelszavak használatának elkerülése.

    Ügyeljen arra, hogy módosítsa a hitelesítési adatait, és olyan jelszavakat használjon, amelyeket nem lehet könnyen kitalálni. Még véletlenszerű jelszógenerátort is használhat, hogy egyedi jelszavakat kapjon, amelyeket nem lehet kitalálni.

    Egy másik lépés, amit megtehet, az eszköz firmware-ének rendszeres frissítése, valamint a biztonsági javítások telepítése, amikor azok megjelennek. A vállalatok gyakran adnak ki biztonsági javításokat, ha sebezhetőséget fedeznek fel eszközeiken.

    Ezért a biztonsági javítások kiadásukkor történő telepítése segíthet megelőzni a támadókat. Ha IoT-eszköze rendelkezik távoli hozzáféréssel, fontolja meg annak letiltását is, ha nincs szüksége erre a funkcióra.

    Egyéb intézkedések közé tartozik a hálózati tevékenység rendszeres figyelése és az otthoni hálózat szegmentálása, hogy az IoT-eszközök ne csatlakozzanak otthoni kritikus hálózatokhoz.

    Következtetés

    Bár a Mirai Botnet készítőit elfogták a hatóságok, a Mirai Botnet fertőzés veszélye továbbra is fennáll. A Mirai Botnet forráskódját nyilvánosságra hozták, és ez a Mirai Botnet halálos változatainak létrehozásához vezetett, amelyek az IoT-eszközöket célozzák meg, és jobban felügyelik az eszközöket.

    Ezért az IoT-eszközök vásárlásakor az eszköz gyártója által kínált biztonsági funkciókat kell kiemelten figyelembe venni. Vásároljon IoT-eszközöket, amelyek olyan biztonsági funkciókkal rendelkeznek, amelyek megakadályozzák az esetleges rosszindulatú programok fertőzését.

    Ezenkívül kerülje az alapértelmezett konfigurációk használatát eszközein, és rendszeresen frissítse eszköze firmware-jét, és telepítse a legújabb biztonsági javításokat, amikor azok megjelennek.

    Felfedezheti a legjobb EDR-eszközöket is a kibertámadások gyors észlelésére és reagálására.

    Tweet
    Share
    Share
    Pin