Kelių licencijų nuolaidos pasiūlymas
Kompiuterių apsauga „Mirai Botnet Spinoffs“ išlaisvina pasaulinę DDoS atakų...

„Mirai Botnet Spinoffs“ išlaisvina pasaulinę DDoS atakų bangą

Autorius Mura, Kompiuterių apsauga
Versti į:
Lietuvių

Du „Mirai botnet“ atšakos visame pasaulyje pradėjo agresyvias paskirstytojo atsisakymo teikti paslaugas (DDoS) kampanijas, nukreiptas į daiktų interneto (IoT) įrenginių pažeidžiamumą ir išnaudodamas silpnus kredencialus. Kampanijose pabrėžiama ilgalaikė grėsmė, kurią kelia „Mirai“ pagrindu veikiančios kenkėjiškos programos, kurios išlieka galingu kibernetiniu ginklu praėjus beveik dešimtmečiui po liūdnai pagarsėjusio debiuto.

Mirai evoliucija: nuolatinė grėsmė daiktų interneto saugumui

Mirai botnetas jau seniai buvo pažeidžiamumų, būdingų daiktų interneto įrenginiams, simbolis. Nuo tada, kai 2016 m. buvo nutekintas šaltinio kodas, „Mirai“ įkvėpė daugybę variantų, kurių kiekvienas pagrįstas niokojančiomis originalios kenkėjiškos programos galimybėmis. Neseniai pasirodė dvi skirtingos kampanijos, kuriose „Mirai“ sukurta kenkėjiška programinė įranga sukompromituoja daiktų interneto įrenginius ir pradeda pasaulines DDoS atakas.

1 kampanija: Murdoc botnetas

Viena iš aktyvių kampanijų, pavadinta „Murdoc Botnet“, pristato „Mirai“ kenkėjiškas programas, skirtas išnaudoti specifinius daiktų interneto įrenginių, tokių kaip „Avtech“ fotoaparatai ir „Huawei HG532“ maršrutizatoriai, pažeidžiamumą. Pasak Qualys tyrėjų, robotų tinklas naudoja žinomus išnaudojimus, įskaitant:

  • CVE-2024-7029 : Avtech kamerų autentifikavimo apėjimo pažeidžiamumas, leidžiantis užpuolikams nuotoliniu būdu įvesti komandas.
  • CVE-2017-17215 : „Huawei“ maršrutizatorių nuotolinio kodo vykdymo (RCE) trūkumas.

„Murdoc“ robotų tinklas pradėjo veikti 2024 m. liepos mėn. ir nuo to laiko pakenkė daugiau nei 1 300 IP, visų pirma Malaizijoje, Tailande, Meksikoje ir Indonezijoje. Tyrėjai atskleidė daugiau nei 100 skirtingų serverių rinkinių, susietų su robotų tinklu, kurių kiekvienam pavesta valdyti užkrėstus įrenginius ir koordinuoti tolesnes atakas.

Kenkėjiška programa įsiskverbia į įrenginius per ELF ir apvalkalo scenarijaus failus, kurie vėliau naudojami „Mirai“ kenkėjiškų programų variantams įdiegti. Šie užkrėsti įrenginiai yra ginkluoti, kad galėtų dalyvauti plataus masto DDoS atakose, sukuriant didžiulį pasaulinį botnet tinklą.

2 kampanija: hibridinės kenkėjiškos programos, nukreiptos į pasaulines organizacijas

Antroji kampanija, naudojanti kenkėjiškas programas, gautas iš Mirai ir Bashlite, buvo skirta Šiaurės Amerikos, Europos ir Azijos organizacijoms. „Trend Micro“ tyrėjai nustatė didelio masto DDoS atakas, kurios iš pradžių paveikė Japonijos korporacijas ir bankus, o vėliau išplito visame pasaulyje.

Atakos vektoriai ir tiksliniai įrenginiai

Užpuolikai daugiausia dėmesio skyrė saugos trūkumams ir silpniems kredencialams išnaudoti plačiai naudojamuose daiktų interneto įrenginiuose, pavyzdžiui:

  • TP-Link maršrutizatoriai
  • Zyxel maršrutizatoriai
  • Hikvision IP kameros

Kenkėjiška programa išnaudojo nuotolinio kodo vykdymo spragas ir silpnus slaptažodžius, kad gautų prieigą, tada atsisiuntė scenarijus, kad sugadintų įrenginius. Ši pasaulinė operacija panaudojo du pagrindinius DDoS atakų tipus:

  1. Tinklo perkrovos atakos : tinklų užtvindymas didžiuliais duomenų paketais, kad būtų perkrautas pralaidumas.
  2. Išteklių išnaudojimo atakos : daugybė seansų, skirtų išnaudoti serverio išteklius, kūrimas.

Kai kuriais atvejais užpuolikai derino abu metodus, kad padidintų žalą, sukeldami didelius sutrikimus paveiktuose regionuose.

Apsaugos priemonės: „Mirai botnetų“ poveikio mažinimas

„Mirai“ pagrįstų kampanijų atgimimas pabrėžia, kad organizacijoms reikia stiprinti savo apsaugą nuo DDoS atakų. „Qualys“ ir „Trend Micro“ mokslininkai pateikė svarbių rekomendacijų, kaip kovoti su šiomis grėsmėmis.

Bendra geriausia praktika

  1. Stebėkite įtartiną veiklą : reguliariai stebėkite procesus, įvykius ir tinklo srautą, ar nėra kompromiso požymių.
  2. Venkite nepatikimų šaltinių : susilaikykite nuo neaiškios kilmės apvalkalo scenarijų ar dvejetainių failų vykdymo.
  3. Sustiprinti daiktų interneto įrenginius : įsitikinkite, kad įrenginiuose yra naujausia programinė įranga ir jie turi stiprius, unikalius slaptažodžius.

Tinklo perkrovos atakų mažinimas

  • Naudokite ugniasienes arba maršrutizatorius, kad blokuotumėte kenkėjiškus IP adresus ir apribotumėte nepageidaujamą srautą.
  • Bendradarbiaukite su interneto paslaugų teikėjais, kad filtruotumėte DDoS srautą tinklo pakraštyje.
  • Atnaujinkite maršrutizatoriaus aparatinę įrangą, kad galėtumėte valdyti didesnį paketų kiekį.

Išteklių išnaudojimo priepuolių mažinimas

  • Įdiekite greičio apribojimą, kad apribotumėte užklausų iš konkrečių IP adresų skaičių.
  • Norėdami filtruoti kenkėjišką srautą, naudokite trečiųjų šalių DDoS apsaugos paslaugas.
  • Nuolat stebėkite ryšius realiuoju laiku ir blokuokite IP su pernelyg dideliu aktyvumu.

Nuolatinis Mirai palikimas

Šios naujausios „Mirai botnet“ kampanijos yra ryškus priminimas apie neapsaugotų daiktų interneto įrenginių keliamą riziką. Užpuolikams ir toliau tobulinant savo taktiką ir naudojant IoT pažeidžiamumą, organizacijos turi išlikti budrios, aktyvios ir pasirengusios sumažinti DDoS atakų riziką. Taikydami tvirtas saugumo priemones ir skatindami bendradarbiavimą tarp kibernetinio saugumo suinteresuotųjų šalių galime sumažinti šių nuolatinių grėsmių poveikį.

Įkeliama...