Πώς να ασφαλίσετε τον δρομολογητή σας από επιθέσεις Mirai Botnet

από
Tweet
Share
Share
Pin

Μια στρατηγική που χρησιμοποιείται από κακόβουλους εισβολείς για να κλιμακώσουν τις επιθέσεις στον κυβερνοχώρο είναι η χρήση των botnets.

Ένα botnet είναι ένα δίκτυο υπολογιστών που έχουν μολυνθεί από κακόβουλο λογισμικό και ελέγχονται εξ αποστάσεως από έναν κακόβουλο παράγοντα. Ένας τέτοιος κακόβουλος ηθοποιός που ελέγχει μια ομάδα μολυσμένων υπολογιστών ονομάζεται bot herder. Οι μεμονωμένες μολυσμένες συσκευές αναφέρονται ως bot.

Οι βοσκοί ρομπότ διοικούν και ελέγχουν την ομάδα των μολυσμένων υπολογιστών, επιτρέποντάς τους να διεξάγουν επιθέσεις στον κυβερνοχώρο σε πολύ μεγαλύτερη κλίμακα. Τα botnets έχουν χρησιμοποιηθεί ευρέως σε μεγάλης κλίμακας άρνηση παροχής υπηρεσιών, phishing, επιθέσεις ανεπιθύμητης αλληλογραφίας και κλοπή δεδομένων.

Ένα παράδειγμα κακόβουλου λογισμικού που έκτοτε κέρδισε τη φήμη για την πειρατεία ψηφιακών συσκευών για τη δημιουργία πολύ μεγάλων botnet είναι το κακόβουλο λογισμικό Mirai Botnet. Το Mirai είναι ένα κακόβουλο λογισμικό botnet που στοχεύει και εκμεταλλεύεται ευπάθειες σε συσκευές Internet of Things (IoT) που εκτελούν Linux.

Μετά τη μόλυνση, ο Mirai κλέβει τη συσκευή IoT μετατρέποντάς την σε ένα τηλεκατευθυνόμενο bot που μπορεί να χρησιμοποιηθεί ως μέρος ενός botnet για την εκτόξευση μαζικών επιθέσεων στον κυβερνοχώρο. Το Mirai γράφτηκε χρησιμοποιώντας C και GO.

Το κακόβουλο λογισμικό έγινε γνωστό το 2016 όταν χρησιμοποιήθηκε σε μια επίθεση κατανεμημένης άρνησης υπηρεσίας (DDOS) στην DYN, έναν πάροχο συστήματος ονομάτων τομέα. Η επίθεση εμπόδισε τους χρήστες του Διαδικτύου να έχουν πρόσβαση σε ιστότοπους όπως Airbnb, Amazon, Twitter, Reddit, Paypal και Visa, μεταξύ άλλων.

Το κακόβουλο λογισμικό Mirai ήταν επίσης υπεύθυνο για επιθέσεις DDOS στον ιστότοπο ασφάλειας στον κυβερνοχώρο Krebs on Security και στη γαλλική εταιρεία υπολογιστών cloud OVHCloud.

Πώς δημιουργήθηκε το Mirai

Το κακόβουλο λογισμικό Mirai γράφτηκε από τους Paras Jha και Josiah White, οι οποίοι ήταν φοιτητές στις αρχές της δεκαετίας των 20 και επίσης ιδρυτές της ProTraf Solutions, μιας εταιρείας που πρόσφερε υπηρεσίες μετριασμού DDOS. Το Mirai Malware γράφτηκε χρησιμοποιώντας γλώσσες προγραμματισμού C και Go.

Αρχικά, ο στόχος τους για το Mirai ήταν να καταργήσουν ανταγωνιστικούς διακομιστές Minecraft χρησιμοποιώντας επιθέσεις DDOS, ώστε να μπορούν να αποκτήσουν περισσότερους πελάτες καταργώντας τον ανταγωνισμό.

Η χρήση τους για το Mirai στη συνέχεια μετατοπίστηκε στον εκβιασμό και τον εκβιασμό. Το δίδυμο εξαπέλυε επιθέσεις DDOS σε εταιρείες και στη συνέχεια προσέγγιζε τις εταιρείες στις οποίες είχαν επιτεθεί για να προσφέρουν μετριασμούς DDOS.

  Διορθώστε το σφάλμα Boot Camp Assistant Not Enough Space

Το Mirai Botnet τράβηξε την προσοχή των αρχών και της κοινότητας της κυβερνοασφάλειας αφού χρησιμοποιήθηκε για την κατάργηση του ιστότοπου Krebs on Security και την επίθεσή του στην OVH. Καθώς το Mirai Botnet άρχισε να γίνεται πρωτοσέλιδο, οι δημιουργοί διέρρευσαν τον πηγαίο κώδικα στο Mirai Botnet σε ένα δημόσια προσβάσιμο φόρουμ hacking.

Αυτό ήταν πιθανότατα μια προσπάθεια να καλύψουν τα ίχνη τους και να αποφύγουν να θεωρηθούν υπεύθυνοι για τις επιθέσεις DDOS που έγιναν χρησιμοποιώντας το Mirai Botnet. Ο πηγαίος κώδικας για το Mirai Botnet χρησιμοποιήθηκε από άλλους κυβερνοεγκληματίες και αυτό οδήγησε στη δημιουργία παραλλαγών του Mirai Botnet όπως το Okiru, το Masuta και το Satori και το PureMasuta.

Ωστόσο, οι δημιουργοί του Mirai Botnet συνελήφθησαν αργότερα από το FBI. Ωστόσο, δεν φυλακίστηκαν και αντ’ αυτού έλαβαν ελαφρύτερες ποινές επειδή συνεργάστηκαν με το FBI για τη σύλληψη άλλων εγκληματιών στον κυβερνοχώρο και την πρόληψη επιθέσεων στον κυβερνοχώρο.

Πώς λειτουργεί το Mirai Botnet

Μια επίθεση από το Mirai Botnet περιλαμβάνει τα ακόλουθα βήματα:

  • Το Mirai Botnet σαρώνει πρώτα τις διευθύνσεις IP στο διαδίκτυο για να αναγνωρίσει συσκευές IoT που εκτελούν Linux στον επεξεργαστή Arc. Στη συνέχεια, εντοπίζει και στοχεύει συσκευές που δεν προστατεύονται με κωδικό πρόσβασης ή χρησιμοποιούν προεπιλεγμένα διαπιστευτήρια.
  • Μόλις εντοπίσει ευάλωτες συσκευές, το Mirai δοκιμάζει μια ποικιλία από γνωστά προεπιλεγμένα διαπιστευτήρια για να προσπαθήσει να αποκτήσει πρόσβαση δικτύου στη συσκευή. Εάν η συσκευή χρησιμοποιεί προεπιλεγμένες διαμορφώσεις ή δεν προστατεύεται με κωδικό πρόσβασης, το Mirai συνδέεται στη συσκευή και τη μολύνει.
  • Στη συνέχεια, το Mirai Botnet σαρώνει τη συσκευή για να βρει εάν έχει μολυνθεί από άλλο κακόβουλο λογισμικό. Σε περίπτωση που έχει, αφαιρεί όλο το άλλο κακόβουλο λογισμικό, ώστε να είναι το μόνο κακόβουλο λογισμικό στη συσκευή, δίνοντάς του περισσότερο έλεγχο στη συσκευή.
  • Στη συνέχεια, μια συσκευή που έχει μολυνθεί από το Mirai γίνεται μέρος του Mirai Botnet και μπορεί να ελεγχθεί εξ αποστάσεως από έναν κεντρικό διακομιστή. Μια τέτοια συσκευή απλώς περιμένει εντολές από τον κεντρικό διακομιστή.
  • Στη συνέχεια, οι μολυσμένες συσκευές χρησιμοποιούνται για να μολύνουν άλλες συσκευές ή χρησιμοποιούνται ως μέρος ενός botnet για τη διεξαγωγή επιθέσεων DDOS μεγάλης κλίμακας σε ιστότοπους, διακομιστές, δίκτυα ή άλλους πόρους προσβάσιμους στο Διαδίκτυο.

    • Αξίζει να σημειωθεί ότι το Mirai Botnet ήρθε με εύρη IP που δεν στόχευσε ή μόλυνε. Αυτό περιλαμβάνει ιδιωτικά δίκτυα και διευθύνσεις IP που έχουν εκχωρηθεί στο Υπουργείο Άμυνας των Ηνωμένων Πολιτειών και στην Ταχυδρομική Υπηρεσία των Ηνωμένων Πολιτειών.

      Πώς να απενεργοποιήσετε τη δημιουργία αντιγράφων ασφαλείας και συγχρονισμό μηνυμάτων AT&T

    Τύποι συσκευών που στοχεύουν το Mirai Botnet

    Ο πρωταρχικός στόχος για το Mirai Botnet είναι συσκευές IoT που χρησιμοποιούν επεξεργαστές ARC. Σύμφωνα με τον Paras Jha, έναν από τους δημιουργούς του Mirai bot, οι περισσότερες συσκευές IoT που μολύνθηκαν και χρησιμοποιήθηκαν από το Mirai Botnet ήταν δρομολογητές.

    Ωστόσο, η λίστα των πιθανών θυμάτων για το Mirai Botnet περιλαμβάνει άλλες συσκευές IoT που χρησιμοποιούν επεξεργαστές ARC.

    Αυτό θα μπορούσε να περιλαμβάνει έξυπνες οικιακές συσκευές όπως κάμερες ασφαλείας, οθόνες μωρών, θερμοστάτες και έξυπνες τηλεοράσεις, φορητές συσκευές όπως ιχνηλάτες γυμναστικής και ρολόγια και ιατρικές συσκευές IoT όπως οθόνες γλυκόζης και αντλίες ινσουλίνης. Οι βιομηχανικές συσκευές IoT και οι ιατρικές συσκευές IoT που χρησιμοποιούν επεξεργαστές ARC μπορούν επίσης να είναι θύματα του botnet Mirai.

    Πώς να εντοπίσετε μια μόλυνση Mirai Botnet

    Το Mirai Botnet έχει σχεδιαστεί για να είναι κρυφό στην επίθεσή του και, επομένως, η ανίχνευση ότι η συσκευή σας IoT έχει μολυνθεί από το Mirai Botnet δεν είναι εύκολη δουλειά. Ωστόσο, δεν είναι εύκολο να εντοπιστούν. Ωστόσο, αναζητήστε τις ακόλουθες ενδείξεις που μπορεί να σηματοδοτούν μια πιθανή μόλυνση Mirai Botnet στη συσκευή σας IoT:

    • Επιβράδυνση σύνδεσης στο Διαδίκτυο – Το Mirai botnet μπορεί να προκαλέσει επιβράδυνση του διαδικτύου σας καθώς οι συσκευές IoT σας χρησιμοποιούνται για την εκτόξευση επιθέσεων DDOS.
    • Ασυνήθιστη διακίνηση δικτύου – Σε περίπτωση που παρακολουθείτε τακτικά τη δραστηριότητα του δικτύου σας, μπορεί να παρατηρήσετε ξαφνική αύξηση της κυκλοφορίας δικτύου ή να αποστέλλονται αιτήματα σε άγνωστες διευθύνσεις IP
    • Μειωμένη απόδοση συσκευής – Η συσκευή σας IoT που δεν έχει τη βέλτιστη απόδοση ή παρουσιάζει ασυνήθιστη συμπεριφορά, όπως τερματισμό λειτουργίας ή επανεκκίνηση από μόνη της, θα μπορούσε να αποτελεί ένδειξη πιθανής μόλυνσης από το Mirai.
    • Αλλαγές στις διαμορφώσεις συσκευών – Το Mirai Botnet ενδέχεται να κάνει αλλαγές στις ρυθμίσεις των συσκευών σας IoT ή στις προεπιλεγμένες διαμορφώσεις για να διευκολύνει την εκμετάλλευση και τον έλεγχο των συσκευών στο μέλλον. Σε περίπτωση που παρατηρήσετε αλλαγές στις διαμορφώσεις των συσκευών σας IoT και δεν είστε υπεύθυνοι για αυτές, θα μπορούσε να υποδηλώνει πιθανή μόλυνση από το Mirai Botnet.

    Αν και υπάρχουν σημάδια που μπορείτε να προσέξετε για να μάθετε εάν η συσκευή σας έχει μολυνθεί, μερικές φορές μπορεί να μην τα παρατηρήσετε εύκολα απλώς επειδή το Mirai Botnet είναι κατασκευασμένο με τέτοιο τρόπο που καθιστά πολύ δύσκολο τον εντοπισμό του. Ως αποτέλεσμα, ο καλύτερος τρόπος για να το αντιμετωπίσετε είναι να αποτρέψετε το Mirai Botnet να μολύνει τις συσκευές σας IoT.

      11 Καλύτερη Πλατφόρμα Δεδομένων Πελατών για Αναπτυσσόμενη Επιχείρηση

    Ωστόσο, σε περίπτωση που υποψιάζεστε ότι έχει εντοπιστεί μια συσκευή IoT, αποσυνδέστε την από το δίκτυο και επανασυνδέστε τη συσκευή μόνο αφού εξαλειφθεί η απειλή.

    Πώς να προστατέψετε τις συσκευές σας από μόλυνση από το Mirai Botnet

    Η βασική στρατηγική του Mirai Botnet για τη μόλυνση συσκευών IoT είναι να δοκιμάζει μια δέσμη γνωστών προεπιλεγμένων διαμορφώσεων για να δει αν οι χρήστες εξακολουθούν να χρησιμοποιούν τις προεπιλεγμένες διαμορφώσεις.

    Εάν συμβαίνει αυτό, το Mirai συνδέεται και μολύνει τις συσκευές. Επομένως, ένα σημαντικό βήμα για την προστασία των συσκευών IoT από το Mirai Botnet είναι η αποφυγή της χρήσης προεπιλεγμένων ονομάτων χρήστη και κωδικών πρόσβασης.

    Φροντίστε να αλλάξετε τα διαπιστευτήριά σας και να χρησιμοποιήσετε κωδικούς πρόσβασης που δεν μπορούν εύκολα να μαντέψουν. Μπορείτε ακόμη να χρησιμοποιήσετε μια γεννήτρια τυχαίων κωδικών πρόσβασης για να λάβετε μοναδικούς κωδικούς πρόσβασης που δεν μπορούν να μαντέψουν.

    Ένα άλλο βήμα που μπορείτε να κάνετε είναι να ενημερώνετε τακτικά το υλικολογισμικό της συσκευής σας και επίσης να εγκαθιστάτε ενημερώσεις κώδικα ασφαλείας κάθε φορά που κυκλοφορούν. Οι εταιρείες συχνά εκδίδουν ενημερώσεις κώδικα ασφαλείας σε περίπτωση που ανακαλυφθούν τρωτά σημεία στις συσκευές τους.

    Επομένως, η εγκατάσταση ενημερώσεων κώδικα ασφαλείας όποτε κυκλοφορούν θα μπορούσε να σας βοηθήσει να παραμείνετε μπροστά από τους εισβολείς. Σε περίπτωση που η συσκευή IoT σας έχει απομακρυσμένη πρόσβαση, σκεφτείτε να την απενεργοποιήσετε επίσης, σε περίπτωση που δεν χρειάζεστε αυτήν τη λειτουργία.

    Άλλα μέτρα που μπορείτε να λάβετε περιλαμβάνουν την τακτική παρακολούθηση της δραστηριότητας του δικτύου σας και την τμηματοποίηση του οικιακού σας δικτύου έτσι ώστε οι συσκευές IoT να μην είναι συνδεδεμένες σε κρίσιμα δίκτυα στο σπίτι.

    συμπέρασμα

    Αν και οι δημιουργοί του Mirai Botnet συνελήφθησαν από τις αρχές, ο κίνδυνος μόλυνσης από το Mirai Botnet εξακολουθεί να υφίσταται. Ο πηγαίος κώδικας του Mirai Botnet κυκλοφόρησε στο κοινό και αυτό οδήγησε στη δημιουργία θανατηφόρων παραλλαγών του Mirai Botnet, οι οποίες στοχεύουν συσκευές IoT και έχουν περισσότερο έλεγχο στις συσκευές.

    Επομένως, κατά την αγορά συσκευών IoT, τα χαρακτηριστικά ασφαλείας που προσφέρονται από τον κατασκευαστή της συσκευής θα πρέπει να αποτελούν βασικό στοιχείο. Αγοράστε συσκευές IoT που διαθέτουν χαρακτηριστικά ασφαλείας που αποτρέπουν πιθανές μολύνσεις από κακόβουλο λογισμικό.

    Επιπλέον, αποφύγετε τη χρήση προεπιλεγμένων διαμορφώσεων στις συσκευές σας και ενημερώστε τακτικά το υλικολογισμικό της συσκευής σας και εγκαταστήστε όλες τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας κάθε φορά που κυκλοφορούν.

    Μπορείτε επίσης να εξερευνήσετε τα καλύτερα Εργαλεία EDR για να ανιχνεύσετε και να ανταποκριθείτε γρήγορα σε επιθέσεις στον κυβερνοχώρο.