Các biến thể của Mirai Botnet tiếp tục lây nhiễm cho các thiết bị IoT

Computer Security News

Cuộc tấn công Gbps DDoS 665 đầu tiên của Mirai botnet đã chống lại các trang web KrebsOnSecurity vào tháng 9 năm 2016. Chỉ cần một vài ngày sau, các cuộc tấn công thứ hai đạt gần 1 Tbps, đánh Pháp công ty lưu trữ, OVH. Mặc dù thực tế rằng các nhà phát triển Mirai phát hành mã nguồn ngay sau khi các cuộc tấn công botnet, nó đã không phải luôn là miễn phí cho lâu dài.

Trong tháng 1 năm 2017, Brian Krebs xác định Paras Jha như authoring Mirai, và trong tháng 12 năm 2017 BTP unsealed một plea tội plea-bargained bởi Paras Jha cho sự phát triển và sử dụng của Mirai. Tuy nhiên, nó đã quá muộn để ngăn chặn botnet vì mã của nó đã được tiết lộ và tội phạm khác có thể phát triển các phiên bản mới của Mirai.

Các nhà nghiên cứu an ninh tại Netscout Arbor đã quan sát thấy các biến thể Mirai sau cho đến nay: ngộ, JenX, OMG và Wicked.

Mirai botnet lây lan bằng cách quét cho kết nối internet IoT thiết bị (IP camera và bộ định tuyến nhà) và ‘brute-buộc’ truy cập thông qua một danh sách các mật khẩu mặc định nhà cung cấp khác. Như người tiêu dùng thường không thay đổi mật khẩu đi kèm với thiết bị, quá trình này thành công đáng kể.

Ngộ sử dụng cùng một bảng cấu hình và kỹ thuật cùng obfuscation chuỗi là Mirai. Tuy nhiên, ASERT đội tuyên bố rằng, “Chúng tôi thấy tác giả mở rộng trên Mirai mã nguồn để bao gồm cả các khai thác khác nhau chẳng hạn như việc khai thác Huawei nhà cửa ngõ.” Khai thác là CVE-2017-17215.

Mã cơ bản cho JenX cũng đến từ Mirai, bao gồm cả bảng cấu hình tương tự và kỹ thuật obfuscation chuỗi tương tự. Sự khác biệt ở đây là JenX cứng mã C2 IP địa chỉ trong khi Mirai mua sắm nó trong bảng cấu hình. Bên cạnh đó, JenX đã gỡ bỏ các chức năng quét và khai thác chức năng của Mirai, được xử lý bởi một hệ thống riêng biệt.

Theo ASERT, “nó xuất hiện JenX chỉ tập trung vào các cuộc tấn công DDoS chống lại các cầu thủ của trò chơi video Grand Theft Auto San Andreas, mà đã được ghi nhận bởi các nhà nghiên cứu khác.”

OMG được biết đến như một trong những thú vị nhất của các phiên bản của Mirai. Trong khi nó bao gồm các chức năng tất cả Mirai, “tác giả mở rộng mã Mirai để bao gồm một máy chủ proxy.” Điều này cho phép nó để cho phép một VỚ và máy chủ proxy HTTP trên thiết bị IoT bị nhiễm bệnh.

Wicked là đặt Mirai Phiên bản, tương tự như ngộ Phiên bản 3.

“Wicked giao dịch trong ủy nhiệm của Mirai quét các chức năng cho các máy quét RCE riêng của mình. Xấu xa của máy quét RCE nhắm mục tiêu các router Netgear và các thiết bị ghi hình CCTV. “ Khi thiết bị dễ bị tổn thương được tìm thấy, “một bản sao của Owari bot tải về và thực thi” ASERT đội giải thích.

Tuy nhiên, hơn nữa phân tích cho thấy rằng trong thực tế Wicked đã cố gắng để tải về Owari botnet, nhưng thực sự tải về Omni botnet.

“Chúng tôi có thể chủ yếu xác nhận rằng các tác giả của botnet Wicked, Sora, Owari và Omni là một và giống nhau. Điều này cũng dẫn chúng ta đến kết luận rằng trong khi các bot WICKED ban đầu có nghĩa là để cung cấp Sora botnet, nó đã được sau đó thêm thắt để phục vụ dự án thành công của tác giả,” Fortinet chuyên gia tuyên bố, trong khi các biến thể của Mirai tiếp tục gia tăng.


Leave a Reply

Your email address will not be published. Required fields are marked *