Variasi Mirai Botnet terus menjangkiti IoT peranti

Computer Security News

Serangan Gbps DDoS pertama 665 Mirai botnet adalah terhadap laman web KrebsOnSecurity pada September 2016. Hanya beberapa hari kemudian, serangan kedua yang memuncak hampir 1 Tbps, menghentam firma hos Perancis, OVH. Walaupun pada hakikatnya bahawa pemaju Mirai dikeluarkan kod sumber tidak lama selepas botnet serangan, ia pula tidak kekal percuma untuk tempoh yang lama.

Pada Januari 2017, Brian Krebs dikenal pasti Paras Jha sebagai Mirai pengarangan dan pada Disember tahun 2017 DoJ di unsealed plea-bargained Akuan bersalah oleh Paras Jha untuk pembangunan dan penggunaan Mirai. Walau bagaimanapun, ia adalah terlalu lewat untuk menghentikan botnet ini kerana kod yang sudah diturunkan dan penjenayah lain dapat membangunkan perisa Mirai baru.

Penyelidik keselamatan di Netscout Arbor telah mematuhi varian Mirai berikut setakat: Satori, OMG, JenX dan Wicked.

Mirai botnet merebak menerusi imbasan untuk disambungkan kepada internet IoT peranti (IP kamera dan penghala rumah) dan ‘brute-memaksa’ akses melalui senarai kata laluan lalai penjual lain. Sebagai pengguna biasanya tidak menukar kata laluan yang datang dengan peranti itu, proses ini amat berjaya.

Satori menggunakan Jadual konfigurasi yang sama dan teknik kekeliruan rentetan yang sama sebagai Mirai. Walau bagaimanapun, ASERT dalam pasukan tuntutan itu, “Kami melihat penulis yang berkembang pada kod sumber Mirai termasuk eksploitasi yang lain seperti mengeksploitasi Gateway Huawei rumah.” Pengeksploitasian itu adalah CVE-2017-17215.

Kod asas untuk JenX juga berasal dari Mirai, termasuk Jadual konfigurasi yang sama dan teknik kekeliruan rentetan yang sama. Perbezaan di sini adalah kod keras JenX C2 IP alamat manakala Mirai Kedai-kedai itu dalam Jadual konfigurasi. Di samping itu, JenX telah menggugurkan imbasan dan eksploitasi fungsi Mirai, yang dikendalikan oleh sistem berasingan.

Menurut ASERT, “ia kelihatan JenX hanya tertumpu kepada serangan DDoS terhadap pemain permainan video Grand kecurian Auto San Andreas, yang telah dicatat oleh penyelidik lain.”

OMG dikenali sebagai salah satu yang paling menarik daripada varian Mirai. Walaupun ia termasuk semua Mirai kefungsian, “penulis berkembang kod Mirai untuk menyertakan pelayan proksi.” Ini membolehkan ia untuk membolehkan satu sarung kaki dan pelayan proksi HTTP pada peranti IoT dijangkiti.

Jahat ialah varian Mirai yang tempahan, agak sama dengan varian Satori 3.

“Wicked perdagangan dalam kelayakan di Mirai mengimbas fungsi bagi pengimbas RCE sendiri. Zalim di pengimbas RCE mensasarkan Netgear penghala dan peranti CCTV-DVR. “ Apabila peranti yang terdedah akan ditemui, “salinan Owari bot yang dimuat turun dan dihukum.” pasukan ASERT menjelaskan.

Walau bagaimanapun, analisis lanjut menunjukkan bahawa dalam amalan Wicked cuba untuk memuat turun Owari botnet, tetapi sebenarnya dimuat turun Omni botnet.

“Kami boleh pada dasarnya mengesahkan bahawa pengarang botnets Wicked, Sora, Owari dan Stesen satu dan sama. Ini juga membawa kita membuat kesimpulan bahawa walaupun bot ZALIM pada asalnya bertujuan untuk menyampaikan Sora botnet, ia adalah kemudian berfokuskan kepada projek-projek berikutnya penulis,” Fortinet pakar mendakwa, manakala varian Mirai terus meningkat.


Leave a Reply

Your email address will not be published. Required fields are marked *