Codeby Market от Сodeby

Мы запустили свой магазин CodebyMarket Equipment for InfoSec. Уже добавили RaspberryAlfa Long-RangeOrange PiArduino и многое другое. Купить Pentesting Devices


Mirai — это архетипический IoT-ботнет, впервые достигший знаменитости с DDoS-атакой 665 Гбит/с на сайте KrebsOnSecurity в сентябре 2016 года. В течение нескольких дней вторая атака Mirai нацелилась на французскую хостинговую фирму OVH с атакой, достигающей почти 1 Тбит/с. В то время это были самые большие атаки DDoS, которые когда-либо регистрировались.

Но в течение нескольких дней, до конца сентября 2016 года разработчик Mirai выпустил исходный код. Теперь его можно найти на GitHub. Разработчик закрыл свой файл «readme» критикой MalwareMustDie и комментарием: «Так же, как я навсегда неизвестен, вы обречены на медиократию навсегда».

Он не оставался неизвестным очень долго. В январе 2017 года Брайан Кребс определил ПарасДжа, как автора Мираи; и в декабре 2017 года DoJ распечатал заявление о признании вины Паулой Джа в разработке и использовании Mirai. Но было слишком поздно, чтобы остановить Мирай, потому что код был в общественном доступе, и он с тех пор использовался в качестве основного строительного блока другими преступниками для разработки вариантов Mirai для последующего собственного использования.

Сетевая компания Netscout Arbor внимательно изучила четыре варианта Mirai: Satori, JenX, OMG и Wicked.

Сам Mirai распространяется путем сканирования других подключенных к Интернету устройств IoT (IP-камер и домашних маршрутизаторов) и доступа «грубой силы» через список паролей поставщиков по умолчанию. Поскольку так мало пользователей когда-либо меняют пароль, который поставляется с устройством, процесс заметно ускоряется. ПарасДжа утверждал, что во время атаки Кребса у него было 380 000 ботов в Мирай.

Satori (или, по крайней мере, третий вариант Satori) использует ту же конфигурационную таблицу и ту же технологию обфускации строк, что и Mirai. Однако, говорит Arbor Security Engineering & Response Team (ASERT), «мы видим, что автор расширяет исходный код Mirai, чтобы включить в себя различные эксплойты, такие, какэксплойт Huawei Home Gateway». Эксплоит имеет идентификацию CVE-2017-17215. В декабре 2017 года Check Point сообщила, что сотни тысяч попыток использовать эту уязвимость были сделаны на домашних маршрутизаторах Huawei HG532, пытающихся загрузить и запустить ботнет Satori.
Основной код JenX также берёт начало от Mirai, снова включающий ту же конфигурационную таблицу и ту же технологию обфускации строк. Однако JenX жестко кодирует адрес C2, а Mirai хранит его в таблице конфигурации. JenX также удалил функции сканирования и эксплуатации Mirai, поскольку это обрабатывается отдельной системой.
«В настоящее время, — пишет ASERT, — похоже, JenX фокусируется только на DDoS-атаках против игроков видеоигры Grand Theft Auto San Andreas, о которых говорили другие исследователи».


Paranoid - курс от Codeby Security School

Представляем вашему вниманию курс от команды codeby - "Комплекс мер по защите персональных данных, анонимности в интернете и не только" Подробнее ...


OMG описывается ASERT как один из самых интересных вариантов Mirai. Хотя он включает в себя все функции Mirai, «автор расширил код Mirai, включив прокси-сервер». Это позволяет ему включить SOCKS и HTTP-прокси-сервер на зараженном IoT-устройстве. «Используя эти две функции, бот может проксировать любой трафик по своему выбору через зараженное устройство IoT, включая дополнительные проверки новых уязвимостей, запуск дополнительных атак или переход с зараженного устройства IoT на другие сети, подключенные к устройству.»

Fortinet рассмотрели OMG в феврале 2018 года. «Это первый раз, когда мы увидели модифицированный Mirai, способный атаковать DDOS, а также настраивать прокси-серверы на уязвимых IoT-устройствах. Мы считаем, что из-за данной модификации появятся новые способы монетизации ботнетов», — заключил они.

Wicked — последний вариант Mirai. «Подобно варианту Satori 3, — пишет ASERT, — Wicked торгует функцией проверки подлинности Mirai для своего собственного сканера RCE. Сканер Rick от Wicked нацелен на маршрутизаторы Netgear и устройства CCTV-DVR». Когда обнаружены уязвимые устройства,то загружается и выполняется копия бота Owari.
Однако анализ одного и того же бота со стороны Fortinet в мае 2018 года имеет несколько иной вывод. Строка «SoraLOADER» предлагает цель для распространения ботнета Sora. Дальнейший анализ показал, что на практике он попытался загрузить ботнет Owari, но фактически загрузил ботнет Omni. «Мы можем, по существу, подтвердить, что автор бот-сетей Wicked, Sora, Owari и Omni один и тот же человек. Это также приводит нас к выводу, что, хотя бот WICKED изначально предназначался для доставки ботнета Sora, он позже был переназначен чтобы служить последующим проектам автора », — говорит Фортинет.
Разработчик Mirai, возможно, был задержан, но, опубликовав исходный код ботнета,модификации Mirai продолжают расти. Экосфера IoT, на которую Мираи и его варианты нацелены и эксплуатируют, все еще находятся в зачаточном состоянии. В 2017 году было подключено около 17 млрд IoT-устройств; но к 2030 году ожидается рост примерно до 125 миллиардов в соответствии с новым анализом IHS Markit. Вендоры продолжают гонку продуктов, чтобы получить большую долю на рынке, но часто ценой безопасности.

«Авторы вредоносных программ будут продолжать использовать вредоносное ПО против IoT в автоматическом режиме. Быстро увеличивая размер ботнета с помощью распространения червя, функции сетевого прокси и автоматизированной эксплуатации уязвимостей в устройствах, ориентированных на Интернет. Важно, чтобы организации применяли новые исправления, обновления, а также стратегии предотвращения DDoS для защиты своих организаций », — предупреждает ASERT.


Безопасная сделка с гарантом Сodeby

Гарант является доверенным посредником между Участниками при проведении сделки.​ Услуга сайта «Проведение сделок через Гаранта» предоставляется всем зарегистрированным пользователям codeby.net Подробнее ...


Похожие темы

Blueborne — скрипт, который позволит осущест... Всем привет! В этой статье, я хочу показать на практике применение уязвимости CVE-2017-0781. Работа этого эксплойта описана в документации к Bluebor...
TestLab v.11 — WhoIs Mr.Hacker Приветствую Вас дорогие друзья) Ну вот настало время очередной лаборатории тестирования на проникновения , в которой вы снова сможете попрактиковать...
Пишем инструмент для брута md5 хэшей на python... В этой не большой статье мы напишем инструмент для брута md5 хэшей на python. Надеюсь у вас есть опыт программирования на данном языке, если же нет ...
Сниффинг для начинающих. Обход VLAN... Так что же такое сниффинг? Это перехват пакетов передающихся по сети. Сегодня мы уделим все внимание ему. Но перед этим научимся: Использовать Wire...
Получение System Privelegies с помощью Eventvwr Re... Для начала нам потребуется активная сессия meterpreter на целевой машине. Как ее получить, я в этой статье рассказывать не буду, на форуме достато...