Varianter av Mirai Botnet hålla infekterar IoT-enheter

Computer Security News

Den första 665 Gbps DDoS-attacken av det Mirai botnät var mot webbplatsen KrebsOnSecurity i September 2016. Bara några dagar senare, den andra attack som nådde nästan 1 TB/s, slog det franska webbhotell företaget, OVH. Trots att Mirai utvecklaren släppt källkoden snart efter botnet attacker, det inte förbli gratis för länge.

I januari 2017, Brian Krebs identifierat Paras RIF som författande Mirai, och i December 2017 DoJ oförseglade en plea-bargained skyldig grunden av Paras RIF för utveckling och användning av Mirai. Dock var det för sent att stoppa botnät eftersom dess kod avslöjades redan och andra brottslingar kunde utveckla nya Mirai varianter.

Säkerhetsforskare vid Netscout Arbor har observerat följande Mirai varianter hittills: Satori, JenX, OMG och Wicked.

Det Mirai botnät sprider sig genom att söka efter andra internet-anslutna IoT-enheter (IP-kameror och hem routrar) och ‘dyre-pressande’ åtkomst via en lista över standard leverantör lösenord. Som konsumenterna oftast inte ändrar lösenordet som medföljer enheten, är processen anmärkningsvärt framgångsrik.

Satori använder samma konfiguration tabell och samma sträng ljusskygg teknik som Mirai. Dock ASERT lag påståenden att ”vi ser författaren expanderande på Mirai källkoden att inkludera olika bedrifter som Huawei Home Gateway utnyttja”. Utnyttja var CVE-2017-17215.

Den underliggande koden för JenX kommer också från Mirai, inklusive konfigurationstabellen samma och samma sträng ljusskygg teknik. Skillnaden här är att JenX hård koder C2 IP adress medan Mirai lagras i konfigurationstabellen. Dessutom har JenX bort skanning och utnyttjande funktioner Mirai, hanteras av ett separat system.

Enligt ASERT, ”det verkar JenX fokuserar endast på DDoS-attacker mot spelare av TV-spelet Grand Theft Auto San Andreas, som har uppmärksammats av andra forskare”.

OMG är känd som en av de mest intressanta av Mirai varianter. Medan den innehåller alla Mirais funktioner, ”författaren expanderade Mirai koden om du vill inkludera en proxy-server”. Detta gör det möjligt att aktivera en strumpor och HTTP-proxyserver på infekterade IoT-enheten.

Wicked är den senaste Mirai variant, som är ganska likt Satori variant 3.

”Wicked avslut i Mirais autentiseringsuppgifter scanning funktion för sin egen RCE-scanner. Wicked’s RCE scanner mål Netgear routrar och CCTV-DVR enheter ”. När känsliga enheter hittas ”en kopia av Owari bot är hämtade och avrättades”. ASERT laget förklarar.

Ytterligare analys visade dock att i praktiken Wicked försökte ladda ner de Owari botnät, men faktiskt hämtat det Omni botnät.

”Vi kan i huvudsak bekräftar att författaren av botnät Wicked, Sora, Owari och Omni är samma. Detta leder oss också till slutsatsen att även OGUDAKTIGA bot var ursprungligen tänkt att leverera det Sora botnät, det var senare repurposed att tjäna författarens efterföljande projekt ”, Fortinet experter hävdar, medan varianter av Mirai fortsätter att öka.


Leave a Reply

Your email address will not be published. Required fields are marked *