Monen lisenssin alennustarjous
Tietokoneturva Mirai Botnet Spinoffs vapauttaa maailmanlaajuisen...

Mirai Botnet Spinoffs vapauttaa maailmanlaajuisen DDoS-hyökkäysaallon

Vuonna Mura vuonna Tietokoneturva
Käännä:
Suomi

Kaksi Mirai-botnet- spinoffia on käynnistänyt maailmanlaajuisesti aggressiivisia hajautettuja palvelunestokampanjoita (DDoS) , jotka kohdistuvat esineiden Internet (IoT) -laitteiden haavoittuvuuksiin ja hyödyntävät heikkoja tunnistetietoja. Kampanjat korostavat Mirai-pohjaisten haittaohjelmien aiheuttamaa jatkuvaa uhkaa, joka on edelleen tehokas kyberase lähes vuosikymmenen pahamaineisen debyyttinsä jälkeen.

Mirai's Evolution: jatkuva uhka IoT-turvallisuudelle

Mirai-botnet on pitkään ollut symboli IoT-laitteiden haavoittuvuuksista. Sen lähdekoodin vuotamisen jälkeen vuonna 2016 Mirai on inspiroinut lukemattomia muunnelmia, joista jokainen perustuu alkuperäisen haittaohjelman tuhoisiin ominaisuuksiin. Viime aikoina on syntynyt kaksi erillistä kampanjaa, joissa hyödynnetään Miraista peräisin olevia haittaohjelmia IoT-laitteiden vaarantamiseen ja maailmanlaajuisten DDoS-hyökkäysten käynnistämiseen.

Kampanja 1: Murdoc-botnet

Yksi aktiivisista kampanjoista, nimeltään Murdoc Botnet, toimittaa Mirai-haittaohjelmia hyödyntämään tiettyjä IoT-laitteiden, kuten Avtech-kameroiden ja Huawei HG532 -reitittimien, haavoittuvuuksia. Qualysin tutkijoiden mukaan botnet hyödyntää tunnettuja hyötyjä, mukaan lukien:

  • CVE-2024-7029 : Avtech-kameroiden todennuksen ohitushaavoittuvuus, jonka avulla hyökkääjät voivat antaa komentoja etänä.
  • CVE-2017-17215 : Etäkoodin suoritusvirhe (RCE) Huawein reitittimissä.

Murdoc-botnet aloitti toimintansa heinäkuussa 2024 ja on sittemmin vaarantanut yli 1 300 IP:tä pääasiassa Malesiassa, Thaimaassa, Meksikossa ja Indonesiassa. Tutkijat löysivät yli 100 erillistä botnet-verkkoon yhdistettyä palvelinjoukkoa, joista jokaisen tehtävänä oli hallita tartunnan saaneita laitteita ja koordinoida uusia hyökkäyksiä.

Haittaohjelma tunkeutuu laitteisiin ELF- ja shell-skriptitiedostojen kautta, joita käytetään sitten Mirai-haittaohjelmaversioiden asentamiseen. Nämä tartunnan saaneet laitteet on aseistettu osallistumaan laajoihin DDoS-hyökkäyksiin, mikä luo valtavan maailmanlaajuisen botnet-verkon.

Kampanja 2: Hybridihaittaohjelmat, jotka kohdistuvat maailmanlaajuisiin organisaatioihin

Toinen kampanja, jossa hyödynnetään sekä Miraista että Bashlitesta peräisin olevia haittaohjelmia, on kohdistettu organisaatioihin Pohjois-Amerikassa, Euroopassa ja Aasiassa. Trend Micron tutkijat tunnistivat laajamittaisia DDoS-hyökkäyksiä, jotka vaikuttivat alun perin japanilaisiin yrityksiin ja pankkeihin ennen kuin ne levisivät maailmanlaajuisesti.

Hyökkäysvektorit ja kohdistetut laitteet

Hyökkääjät keskittyivät hyödyntämään tietoturvapuutteita ja heikkoja tunnistetietoja laajalti käytetyissä IoT-laitteissa, kuten:

  • TP-Link reitittimet
  • Zyxel reitittimet
  • Hikvision IP-kamerat

Haittaohjelma hyödynsi koodin etäsuorittamisen haavoittuvuuksia ja heikkoja salasanoja päästäkseen sisään ja latasi sitten komentosarjoja vaarantaakseen laitteet. Tämä globaali operaatio on käyttänyt kahta ensisijaista DDoS-hyökkäystyyppiä:

  1. Verkon ylikuormitushyökkäykset : Verkot tulvivat valtavia datapaketteja kaistanleveyden ylittämiseksi.
  2. Resurssien tyhjennyshyökkäykset : Useiden istuntojen luominen palvelinresurssien tyhjentämiseksi.

Joissakin tapauksissa hyökkääjät yhdistivät molemmat menetelmät vahingon maksimoimiseksi, mikä aiheutti merkittäviä häiriöitä kärsivillä alueilla.

Puolustustoimenpiteet: Mirai-bottiverkkojen vaikutusten lieventäminen

Mirai-pohjaisten kampanjoiden uudelleen nousu korostaa organisaatioiden tarvetta vahvistaa puolustustaan DDoS-hyökkäyksiä vastaan. Qualysin ja Trend Micron tutkijat ovat antaneet tärkeitä suosituksia näiden uhkien torjumiseksi.

Yleiset parhaat käytännöt

  1. Epäilyttävän toiminnan valvonta : Seuraa säännöllisesti prosesseja, tapahtumia ja verkkoliikennettä kompromissimerkkien varalta.
  2. Vältä epäluotettavia lähteitä : Vältä suorittamasta komentotulkkikomentosarjaa tai binääriä tuntemattomasta alkuperästä.
  3. Harden IoT-laitteet : Varmista, että laitteisiin on päivitetty uusin laiteohjelmisto ja että niillä on vahvat, yksilölliset salasanat.

Verkon ylikuormitushyökkäysten lieventäminen

  • Käytä palomuuria tai reitittimiä haitallisten IP-osoitteiden estämiseen ja ei-toivotun liikenteen rajoittamiseen.
  • Suodata DDoS-liikennettä verkon reunalla yhteistyössä Internet-palveluntarjoajien kanssa.
  • Päivitä reitittimen laitteisto käsittelemään suurempia pakettimääriä.

Resurssien ehtymishyökkäysten lieventäminen

  • Ota käyttöön nopeusrajoitus rajoittaaksesi tietyistä IP-osoitteista tulevien pyyntöjen määrää.
  • Käytä kolmannen osapuolen DDoS-suojauspalveluita haitallisen liikenteen suodattamiseen.
  • Seuraa yhteyksiä jatkuvasti reaaliajassa ja estä IP-osoitteet liiallisella toiminnalla.

Mirain jatkuva perintö

Nämä viimeisimmät Mirai-botnet-kampanjat ovat jyrkkä muistutus suojaamattomien IoT-laitteiden aiheuttamista riskeistä. Kun hyökkääjät jatkavat taktiikkansa ja IoT-haavoittuvuuksien hyödyntämistä, organisaatioiden on pysyttävä valppaina, proaktiivisina ja valmiina vähentämään DDoS-hyökkäysten riskejä. Ottamalla käyttöön vankat turvatoimenpiteet ja edistämällä yhteistyötä kyberturvallisuuden sidosryhmien välillä voimme vähentää näiden jatkuvien uhkien vaikutuksia.

Ladataan...