1. Близкие контакты третьего рода
2. Анализ исходного кода
3. Список Мираи «Не связывайтесь»
4. Территориальный Хищник
5. Из России с любовью?
6. Что вы можете сделать, чтобы предотвратить распространение ботнета IoT

В настоящее время многие из вас слышали, что 20 сентября 2016 года на сайте известного журналиста по безопасности Брайана Кребса был нанесен удар по одному из крупнейших Распределенный отказ в обслуживании атаки (DDoS) на сегодняшний день.

Величина этой атаки, звездный статус ее цели в сообществе InfoSec и куча драмы, которая последовала сделал это одной из самых громких DDoS-историй года.

30 сентября в истории произошло еще одно событие, когда пользователь HackForum по имени Anna-senpai слил исходный код Mirai - ботнет вредоносное ПО, стоящее за атаками. Предполагалось, что при этом преступник пытался скрыть свои следы, по праву обеспокоенный последствиями взмахов на Брайана.

С тех пор, как исходный код был опубликован, команда безопасности Imperva Incapsula начала копаться, чтобы увидеть, какие сюрпризы может преподнести Mirai. В этом посте мы поделимся:

• Наши собственные встречи с ботнетами Mirai
• Результаты нашего исследования исходного кода Mirai

Обновить:

Выпущен новый сканер Mirai. Мы разработали сканер, который может проверять, заражено ли одно или несколько устройств в вашей сети Mirai или нет. Вы можете найти бета-версию сканера Mirai Вот ,

Если вы пропустили «Deep Dive into Mirai Botnet», организованный Беном Херцбергом, посмотрите наши запись видео события.

Близкие контакты третьего рода

Тщательный анализ исходного кода Mirai позволил нам создать надежную подпись, с помощью которой мы могли бы идентифицировать деятельность Mirai в нашей сети. Затем мы обратились к нашим журналам и изучили недавние нападения, чтобы узнать, не было ли на них отпечатков пальцев Мирай.

Конечно же, мы обнаружили, что ботнет Mirai был ответственен за множество наводнений GRE, которые были смягчены нашей службой 17 августа. Используя тактику «беги и беги», атака достигла пика со скоростью 280 Гбит / с и 130 Мбит / с, что указывает на очень сильную ботнет.

Рисунок 1: Смягчение множества наводнений GRE с использованием Mirai, достигающих пика в 280 Гбит / с / 130 Мбит / с

Расследование атаки выявило 49 657 уникальных IP-адресов, на которых размещались зараженные Mirai устройства. Как сообщалось ранее, это были в основном камеры видеонаблюдения - популярный выбор DDoS ботнет пастухов. Другие пострадавшие устройства включали видеорегистраторы и маршрутизаторы.

В целом IP-адреса устройств, зараженных Mirai, были обнаружены в 164 странах. Как видно из приведенной ниже карты, IP-адреса ботнетов сильно разрознены и появляются даже в таких удаленных местах, как Черногория, Таджикистан и Сомали.

Рисунок 2: Географические местоположения всех зараженных Mirai устройств, обнаруженные до сих пор

Страна% Mirai IP-адресов ботнетов Вьетнам 12,8% Бразилия 11,8% США 10,9% Китай 8,8% Мексика 8,4% Южная Корея 6,2% Тайвань 4,9% Россия 4,0% Румыния 2,3% Колумбия 1,5%

Рисунок 3: Основные страны происхождения DDoS-атак Mirai

Интересно, что с тех пор, как исходный код был обнародован, мы также видели несколько новых атак на основе Mirai. На этот раз они приняли форму HTTP-наводнений на уровне приложений, один из которых даже был направлен против нашего домена (www.incapsula.com).

Характеризующиеся относительно низким числом запросов в секунду (RPS) и небольшим количеством исходных IP-адресов, они выглядели как экспериментальные первые шаги новых пользователей Mirai, которые тестировали воду после того, как вредоносная программа стала широко доступной. Вероятно, это признаки того, что произойдет, и мы ожидаем, что в ближайшем будущем мы будем иметь дело с атаками Mirai.

Рисунок 4: Ботнет Mirai запускает кратковременный поток HTTP против incapsula.com

Анализ исходного кода

Mirai Это вредоносная программа, которая заражает устройства IoT и используется в качестве платформы для запуска DDoS-атак. Код Mirai C & C (command and control) кодируется в Go, а его боты - в C.

Как и большинство вредоносных программ в этой категории, Mirai создан для двух основных целей:

• Найдите и скомпрометируйте устройства IoT для дальнейшего развития ботнета.
• Запустите DDoS-атаки на основе инструкций, полученных от удаленного C & C.

Чтобы выполнить свою функцию набора, Mirai выполняет широкомасштабное сканирование IP-адресов. Целью этих проверок является обнаружение недостаточно защищенных IoT-устройств, к которым можно получить удаленный доступ с помощью легко угадываемых учетных данных для входа в систему - обычно это заводские стандартные имена пользователей и пароли (например, admin / admin).

Мирай использует метод грубой силы для угадывания паролей ака словарные атаки на основании следующего списка:

root xc3511 root vizxv root admin admin admin root 888888 root xmhdipc root по умолчанию root juantech root 123456 root 54321 поддержка поддержка root (нет) пароль администратора root root root 12345 пользователь user admin (нет) root pass admin admin1234 root 1111 admin smcadmin admin 1111 root 666666 root пароль root 1234 root klv123 Администратор Администратор службы администратора супервизор гость гость гость 12345 гость 12345 admin1 пароль администратор 1234 666666 666666 888888 888888 ubnt ubnt корень klv1234 корень Zte521 корень hi3518 корень jvbzd корень anko корень zlxx. root 7ujMko0vizxv root 7ujMko0admin корневая система root ikwb root dreambox root пользователь root realtek root 00000000 admin 1111111 admin 1234 admin 12345 admin 54321 admin 123456 admin 7ujMko0admin admin 1234 admin проходить администратора meinsm tech tech mother f ** er [censored]

Функция атаки Mirai позволяет запускать HTTP-потоки и различные сетевые (уровень OSI 3-4) DDoS-атаки. При атаке HTTP-флудов, Mirai боты прячутся позади следующих пользовательских агентов по умолчанию:

Mozilla / 5.0 (Windows NT 10.0; WOW64) AppleWebKit / 537.36 (KHTML, как Gecko) Chrome / 51.0.2704.103 Safari / 537.36 Mozilla / 5.0 (Windows NT 10.0; WOW64) AppleWebKit / 537.36 (KHTML, как Gecko) Chrome / 52.0. 2743.116 Safari / 537.36 Mozilla / 5.0 (Windows NT 6.1; WOW64) AppleWebKit / 537.36 (KHTML, как Gecko) Chrome / 51.0.2704.103 Safari / 537.36 Mozilla / 5.0 (Windows NT 6.1; WOW64) AppleWebKit / 537.36 (KHTock) как Chrome / 52.0.2743.116 Safari / 537.36 Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit / 601.7.7 (KHTML, как Gecko) Версия / 9.1.2 Safari / 601.7.7

Для атак на сетевом уровне Mirai может запускать наводнения GRE IP и GRE ETH, а также наводнения SYN и ACK, наводнения STOMP (Simple Text Oriented Message Protocol), наводнения DNS и атаки UDP-наводнения.

Mira также обладает некоторыми возможностями обхода, которые позволяют обходить решения безопасности:

#define TABLE_ATK_DOSARREST 45 // "сервер: dosarrest" #define TABLE_ATK_CLOUDFLARE_NGINX 46 // "сервер: cloudflare-nginx" if (util_stristr (generic_memes, ret, table_retrieve_val (TABLE_ATK_LE_TEF_NEFF )_NUF) ; if (util_stristr (generic_memes, ret, table_retrieve_val (TABLE_ATK_DOSARREST, NULL))! = -1) conn-> protection_type = HTTP_PROT_DOSARREST;

Хотя это может показаться стандартным исходным кодом, у Mirai также есть несколько причуд, которые мы находим особенно интригующими…

Список Мираи «Не связывайтесь»

Одной из самых интересных вещей, обнаруженных в коде, был жестко запрограммированный список IP-адресов, которые боты Mirai запрограммировали, чтобы избежать при выполнении сканирования IP-адресов.

В этот список, который вы можете найти ниже, входят Почтовая служба США, Министерство обороны, Управление по присвоению номеров в Интернете (IANA) и диапазоны IP-адресов, принадлежащие Hewlett-Packard и General Electric.

127.0.0.0/8 - Loopback 0.0.0.0/8 - Неверное адресное пространство 3.0.0.0/8 - General Electric (GE) 15.0.0.0/7 - Hewlett-Packard (HP) 56.0.0.0/8 - Почтовая служба США 10.0. 0.0 / 8 - внутренняя сеть 192.168.0.0/16 - внутренняя сеть 172.16.0.0/14 - внутренняя сеть 100.64.0.0/10 - зарезервировано IANA NAT 169.254.0.0/16 - зарезервировано IANA NAT 198.18.0.0/15 - специальное использование IANA 224 . *. *. * + - Multicast 6.0.0.0/7 - Министерство обороны 11.0.0.0/8 - Министерство обороны 21.0.0.0/8 - Министерство обороны 22.0.0.0/8 - Министерство обороны 26.0.0.0/8 - Министерство обороны 28.0.0.0/7 - Министерство обороны 30.0.0.0/8 - Министерство обороны 33.0.0.0/8 - Министерство обороны 55.0.0.0/8 - Министерство обороны 214.0.0.0/7 - Министерство обороны

Этот список интересен тем, что дает представление о психике авторов кода. С одной стороны, это разоблачает проблемы привлечения внимания к их деятельности. Беспокойство мы находим ироничным, учитывая, что эта вредоносная программа в конечном итоге использовалась в одной из самых громких атак на сегодняшний день.

С другой стороны, список контента довольно наивен - такого рода вещи можно ожидать от кого-то, кто узнал о кибербезопасности из популярных средств массовой информации (или, возможно, из этого Вики-страница ), а не профессиональный киберпреступник.

Вместе они рисуют картину опытного, но не особо опытного, кодера, который может быть немного над головой. Это если некоторые IP-диапазоны не были удалены из кода перед его выпуском.

Территориальный Хищник

Еще одна интересная вещь о Mirai - это «территориальная» природа. Вредонос содержит несколько сценариев-убийц, предназначенных для уничтожения других червей и троянов, а также для запрета попыток удаленного подключения захваченного устройства.

Например, следующие сценарии закрывают все процессы, использующие порты SSH, Telnet и HTTP:

killer_kill_by_port (htons (23)) // Убить службу telnet killer_kill_by_port (htons (22)) // Убить службу SSH killer_kill_by_port (htons (80)) // Убить службу HTTP

Они определяют местонахождение / уничтожают другие процессы ботнета из памяти, метод, известный как очистка памяти:

#DEFINE TABLE_MEM_QBOT // ОТЧЕТ% S:% S #DEFINE TABLE_MEM_QBOT2 // HTTPFLOOD #DEFINE TABLE_MEM_QBOT3 // LOLNOGTFO #DEFINE TABLE_MEM_UPX // \ X58 \ X4D \ X4E \ X2 \ \ ZEFE \ XE \ XE

И эта функция ищет и уничтожает Аниме вредоносная программа - «конкурирующая» часть программного обеспечения, которая также используется для взлома устройств IoT:

поиск .anime процесса table_unlock_val (TABLE_KILLER_ANIME); // Если путь содержит ".anime" kill. if (util_stristr (realpath, rp_len - 1, table_retrieve_val (TABLE_KILLER_ANIME, NULL))! = -1) {unlink (realpath); убить (pid, 9); } table_lock_val (TABLE_KILLER_ANIME);

Целью этого агрессивного поведения является:

• Помогите Mirai максимально увеличить потенциал атаки устройств ботнета.
• Предотвращение подобных попыток удаления от других вредоносных программ.

Эти наступательные и оборонительные меры проливают свет на войны за дерновины, которые ведут скотоводы-ботнеты - в шаге от мультитенантные ботнеты мы ранее сталкивались в нашем исследовании. Так много для чести среди воров.

Из России с любовью?

Наконец, стоит отметить, что код Mirai содержит следы русскоязычных строк, несмотря на его английский интерфейс C & C. Здесь, например, русский язык используется для описания полей имени пользователя и пароля:

// Получить имя пользователя this.conn.SetDeadline (time.Now (). Добавить (60 * time.Second)) this.conn.Write ([] byte ("\ 033 [34; 1mпользователь \ 033 [33; 3m: \ 033 [0m ")) // Получить пароль this.conn.SetDeadline (time.Now (). Добавить (60 * time.Second)) this.conn.Write ([] byte (" \ 033 [34; 1mпароль \ 033 [33; 3 м: \ 033 [0 м "))

Это открывает двери для предположений о происхождении кода, служа подсказкой, что Mirai был разработан русскими хакерами или - по крайней мере - группой хакеров, некоторые из которых были русского происхождения.

Другие фрагменты кода, которые содержат анекдоты Рика Роллса рядом с русскими строками с надписью «я люблю куриные наггетсы», что переводится как «Я люблю куриные наггетсы», еще больше подтверждают российское наследие авторов кодекса, а также их возрастную демографическую ,

Что вы можете сделать, чтобы предотвратить распространение ботнета IoT

В то время как DDoS-атаки от ботнетов Mirai могут быть смягчены, невозможно избежать нацеливания. Однако, как владелец устройства, вы можете сделать несколько вещей, чтобы сделать цифровое пространство более безопасным для своих сограждан:

• Прекратите использовать стандартные / общие пароли.
• Отключите весь удаленный (WAN) доступ к вашим устройствам. Чтобы убедиться, что ваше устройство не открыто для удаленного доступа, вы можете использовать этот инструмент сканировать следующие порты: SSH (22), Telnet (23) и HTTP / HTTPS (80/443).

Только с более чем четвертью миллиардами камер видеонаблюдения по всему миру, а также с постоянным ростом других устройств IoT базовые методы обеспечения безопасности, подобные этим, должны стать новой нормой. Не ошибись; Mirai - не первое и не последнее вредоносное ПО, использующее слабые методы обеспечения безопасности.

Похожие

Комментарии