Jak zabezpieczyć router przed atakami Mirai Botnet

przez

Strategią stosowaną przez złośliwych napastników w celu zwiększenia skali cyberataków jest wykorzystanie botnetów.

Botnet to sieć komputerów, które zostały zainfekowane złośliwym oprogramowaniem i są zdalnie kontrolowane przez złośliwego aktora. Taki złośliwy aktor kontrolujący grupę zainfekowanych komputerów nazywany jest pasterzem botów. Poszczególne zainfekowane urządzenia są określane jako boty.

Pasterze botów dowodzą i kontrolują grupę zainfekowanych komputerów, umożliwiając im przeprowadzanie cyberataków na znacznie większą skalę. Botnety były szeroko wykorzystywane w atakach typu „odmowa usługi” na dużą skalę, phishingu, atakach spamowych i kradzieży danych.

Przykładem złośliwego oprogramowania, które od tego czasu zyskało rozgłos dzięki porywaniu urządzeń cyfrowych w celu tworzenia bardzo dużych botnetów, jest złośliwe oprogramowanie Mirai Botnet. Mirai to złośliwe oprogramowanie typu botnet, które atakuje i wykorzystuje luki w zabezpieczeniach urządzeń Internetu rzeczy (IoT) z systemem Linux.

Po infekcji Mirai przejmuje kontrolę nad urządzeniem IoT, zamieniając je w zdalnie sterowanego bota, którego można użyć jako części botnetu do przeprowadzania masowych cyberataków. Mirai został napisany przy użyciu C i GO.

Złośliwe oprogramowanie zyskało na znaczeniu w 2016 r., kiedy zostało użyte w rozproszonym ataku typu „odmowa usługi” (DDOS) na firmę DYN, dostawcę systemu nazw domen. Atak uniemożliwił internautom dostęp między innymi do takich stron jak Airbnb, Amazon, Twitter, Reddit, Paypal i Visa.

Złośliwe oprogramowanie Mirai było również odpowiedzialne za ataki DDOS na witrynę Krebs on Security zajmującą się cyberbezpieczeństwem oraz francuską firmę zajmującą się przetwarzaniem w chmurze OVHCloud.

Jak powstał Mirai

Złośliwe oprogramowanie Mirai zostało napisane przez Parasa Jha i Josiaha White’a, którzy w tamtym czasie byli studentami po dwudziestce, a także założycielami ProTraf Solutions, firmy oferującej usługi łagodzenia skutków DDOS. Mirai Malware zostało napisane przy użyciu języków programowania C i Go.

Początkowo ich celem dla Mirai było zniszczenie konkurencyjnych serwerów Minecraft za pomocą ataków DDOS, aby mogli zdobyć więcej klientów, eliminując konkurencję.

Ich użycie dla Mirai zmieniło się następnie w wymuszenia i ściąganie haraczy. Duet przeprowadzał ataki DDOS na firmy, a następnie kontaktował się z zaatakowanymi firmami, aby oferować środki zaradcze DDOS.

Mirai Botnet zwrócił uwagę władz i społeczności zajmującej się cyberbezpieczeństwem po tym, jak został użyty do usunięcia strony internetowej Krebs on Security i jej ataku na OVH. Gdy Mirai Botnet zaczął pojawiać się na pierwszych stronach gazet, twórcy ujawnili kod źródłowy Mirai Botnet na publicznie dostępnym forum hakerskim.

Była to prawdopodobnie próba zatarcia śladów i uniknięcia odpowiedzialności za ataki DDOS przeprowadzone przy użyciu botnetu Mirai. Kod źródłowy botnetu Mirai został wykorzystany przez innych cyberprzestępców, co doprowadziło do stworzenia wariantów botnetu Mirai, takich jak Okiru, Masuta i Satori oraz PureMasuta.

Twórcy botnetu Mirai zostali jednak później schwytani przez FBI. Jednak nie trafili do więzienia, a zamiast tego dostali lżejsze wyroki, ponieważ współpracowali z FBI przy chwytaniu innych cyberprzestępców i zapobieganiu cyberatakom.

Jak działa botnet Mirai

Atak Mirai Botnet obejmuje następujące kroki:

  • Mirai Botnet najpierw skanuje adresy IP w Internecie, aby zidentyfikować urządzenia IoT z systemem Linux na procesorze Arc. Następnie identyfikuje i atakuje urządzenia, które nie są chronione hasłem lub używają domyślnych danych uwierzytelniających.
  • Po zidentyfikowaniu wrażliwych urządzeń Mirai próbuje różnych znanych domyślnych danych uwierzytelniających, aby uzyskać dostęp sieciowy do urządzenia. Jeśli urządzenie korzysta z domyślnych konfiguracji lub nie jest chronione hasłem, Mirai loguje się do urządzenia i infekuje je.
  • Następnie Mirai Botnet skanuje urządzenie, aby sprawdzić, czy nie zostało zainfekowane innym złośliwym oprogramowaniem. Jeśli tak, usuwa wszystkie inne złośliwe oprogramowanie, dzięki czemu jest to jedyne złośliwe oprogramowanie na urządzeniu, dając mu większą kontrolę nad urządzeniem.
  • Urządzenie zainfekowane Mirai staje się wówczas częścią botnetu Mirai i może być zdalnie kontrolowane z centralnego serwera. Takie urządzenie po prostu oczekuje na polecenia z centralnego serwera.
  • Zainfekowane urządzenia są następnie wykorzystywane do infekowania innych urządzeń lub wykorzystywane jako część botnetu do przeprowadzania ataków DDOS na dużą skalę na strony internetowe, serwery, sieci lub inne zasoby dostępne w Internecie.

    • Warto zauważyć, że botnet Mirai był dostarczany z zakresami adresów IP, których nie atakował ani nie infekował. Obejmuje to sieci prywatne i adresy IP przypisane do Departamentu Obrony Stanów Zjednoczonych i Poczty Stanów Zjednoczonych.

    Typy urządzeń, na które atakuje Mirai Botnet

    Głównym celem Mirai Botnet są urządzenia IoT korzystające z procesorów ARC. Według Parasa Jha, jednego z autorów bota Mirai, większość urządzeń IoT zainfekowanych i używanych przez botnet Mirai to routery.

    Jednak lista potencjalnych ofiar botnetu Mirai obejmuje inne urządzenia IoT korzystające z procesorów ARC.

    Może to obejmować inteligentne urządzenia domowe, takie jak kamery bezpieczeństwa, elektroniczne nianie, termostaty i inteligentne telewizory, urządzenia do noszenia, takie jak monitory fitness i zegarki, oraz medyczne urządzenia IoT, takie jak glukometry i pompy insulinowe. Przemysłowe urządzenia IoT i medyczne urządzenia IoT korzystające z procesorów ARC również mogą paść ofiarą botnetu Mirai.

    Jak wykryć infekcję botnetem Mirai

    Mirai Botnet został zaprojektowany tak, aby przeprowadzać ataki z ukrycia, dlatego wykrycie, że urządzenie IoT jest zainfekowane przez Mirai Botnet, nie jest łatwym zadaniem. Jednak nie są łatwe do wykrycia. Poszukaj jednak następujących wskaźników, które mogą sygnalizować możliwą infekcję Mirai Botnet na Twoim urządzeniu IoT:

    • Wolne połączenie internetowe — botnet Mirai może powodować spowolnienie Internetu, ponieważ urządzenia IoT są wykorzystywane do przeprowadzania ataków DDoS.
    • Nietypowy ruch w sieci — jeśli regularnie monitorujesz swoją aktywność w sieci, możesz zauważyć nagły wzrost ruchu w sieci lub wysyłanie żądań na nieznane adresy IP
    • Zmniejszona wydajność urządzenia – Twoje urządzenie IoT działa nieoptymalnie lub wykazuje nietypowe zachowanie, takie jak samoczynne wyłączanie lub ponowne uruchamianie, może wskazywać na możliwą infekcję Mirai.
    • Zmiany w konfiguracjach urządzeń — Mirai Botnet może wprowadzać zmiany w ustawieniach lub domyślnych konfiguracjach urządzeń IoT, aby ułatwić wykorzystanie i kontrolowanie urządzeń w przyszłości. Jeśli zauważysz zmiany w konfiguracjach swoich urządzeń IoT, a nie jesteś za nie odpowiedzialny, może to wskazywać na możliwą infekcję Mirai Botnet.

    Chociaż istnieją oznaki, na które możesz uważać, aby wiedzieć, czy Twoje urządzenie zostało zainfekowane, czasami możesz ich nie zauważyć po prostu dlatego, że Mirai Botnet jest stworzony w taki sposób, że bardzo trudno go wykryć. W rezultacie najlepszym sposobem radzenia sobie z tym jest zapobieganie infekowaniu urządzeń IoT przez Mirai Botnet.

    Jeśli jednak podejrzewasz, że urządzenie IoT zostało wykryte, odłącz je od sieci i podłącz ponownie dopiero po wyeliminowaniu zagrożenia.

    Jak chronić swoje urządzenia przed infekcją Mirai Botnet

    Kluczową strategią Mirai Botnet w infekowaniu urządzeń IoT jest testowanie kilku dobrze znanych domyślnych konfiguracji, aby sprawdzić, czy użytkownicy nadal używają domyślnych konfiguracji.

    W takim przypadku Mirai loguje się i infekuje urządzenia. Dlatego ważnym krokiem w ochronie urządzeń IoT przed Mirai Botnet jest unikanie używania domyślnych nazw użytkowników i haseł.

    Pamiętaj, aby zmienić dane uwierzytelniające i używać haseł, których nie można łatwo odgadnąć. Możesz nawet użyć generatora losowych haseł, aby uzyskać unikalne hasła, których nie można odgadnąć.

    Kolejnym krokiem, który możesz podjąć, jest regularne aktualizowanie oprogramowania układowego urządzenia, a także instalowanie poprawek bezpieczeństwa, gdy tylko zostaną wydane. Firmy często wypuszczają poprawki bezpieczeństwa w przypadku wykrycia luk w zabezpieczeniach ich urządzeń.

    Dlatego instalowanie poprawek bezpieczeństwa, gdy tylko zostaną wydane, może pomóc Ci wyprzedzić atakujących. Jeśli Twoje urządzenie IoT ma dostęp zdalny, rozważ jego wyłączenie, jeśli nie potrzebujesz tej funkcji.

    Inne środki, które możesz podjąć, obejmują regularne monitorowanie aktywności sieciowej i segmentację sieci domowej, tak aby urządzenia IoT nie były podłączone do krytycznych sieci w domu.

    Wniosek

    Chociaż twórcy Mirai Botnet zostali zatrzymani przez władze, ryzyko infekcji Mirai Botnet nadal istnieje. Kod źródłowy Mirai Botnet został udostępniony publicznie, co doprowadziło do powstania śmiercionośnych wariantów Mirai Botnet, które atakują urządzenia IoT i mają większą kontrolę nad urządzeniami.

    Dlatego przy zakupie urządzeń IoT należy wziąć pod uwagę zabezpieczenia oferowane przez producenta urządzenia. Kupuj urządzenia IoT, które mają funkcje bezpieczeństwa, które zapobiegają możliwym infekcjom złośliwym oprogramowaniem.

    Ponadto unikaj używania domyślnych konfiguracji w swoich urządzeniach i regularnie aktualizuj oprogramowanie sprzętowe urządzenia oraz instaluj wszystkie najnowsze poprawki bezpieczeństwa, gdy tylko zostaną wydane.

    Możesz także zapoznać się z najlepszymi narzędziami EDR do szybkiego wykrywania cyberataków i reagowania na nie.