Mukashi – проверете дали не сте част от най-новия ботнет

Или как ботмрежата Mirai се завърна с ново име – Mukashi и промени метода си на действие

Freedom Online

Последен ъпдейт на 4 май 2020 в 11:58 ч.

Накратко:

По материала работиха: Валентин Манев, Георги Павлов

Поне три ботнет оператора сформират нови “зомби” мрежи с уязвими IoT устройства. Те използват разновидност на небезизвестния Mirai, но този път под името Mukashi. Престъпниците са експлоатирали нови уязвимости във въпросните устройства цели 6 месеца преди вендорите да успеят да закърпят своите пропуски.

Рекордни DDoS атаки

Нека припомним какво знаем за Mirai botnet. Това е зловреден код, който придобива контрол върху уязвими “IoT” устройства (DVR, web камери и SOHO рутери). Целта е тези устройства да бъдат използвани в големи Distributed Denial of Service (DDoS) атаки.

Mirai придоби известност още с появата си на радара. Дебютът беше с най-масивната до този момент DDoS атака към блога на Krebs on Security. Впоследствие, в апогея му през 2016 г., ботмрежата успява успешно да парализира едни от най-големите интернет доставчици на услуги като OVH web hosting и Dyn DNS. Първите съобщиха, че атаките към тях  са били с обем над 1Tbps (терабита в секунда), генерирани от над 600 000 устройства). Повече за тази атака може да прочетете тук.

В оригиналния си вариант Mirai има един от най-елегантните принципи на работа:

  1. Престъпниците сканират интернет за IoT устройства с отворени портове на услуги за мениджмънт (telnet, ssh – 23/TCP, 22/TCP).
  2. След това зловредният код се опитва да се сдобие с административен достъп като използва списък от 64 потребителски имена и пароли, използвани по подразбиране или вградени от производителя. Ако не са сменени, Mirai получава достъпа до засегнатите устройства.
  3. В зависимост от производителя и модела на устройството, зловредният код инсталира специфични модули, които превръщат това устройство в “зомби” под пълният контрол на престъпниците.
  4. Всяко ново „зомбирано“ устройство повтаря стъпките от 1 до 3.

Най-новият наследник

Най-новият наследник на Mirai е Mukashi. Той има сходен принцип на действие, но се възползва от уязвимост (CVE-2020-9054) в 27 устройства, произведени от Zyxel, който има над 100 милиона работещи устройства по света.

На 24 февруари 2020 г. тайванският производител публикува ъпдейт за уязвимостта CVE-2020-9054. В последствие се оказа, че той не отстранява проблема при много остарели (End of Life) устройства, които вече не се поддържат от компанията. Съветът на Zyxel е тези устройства да не се свързват към интернет.

Друг производител на експлоатирани от Mukashi IoT устройства е LILIN. DVR и CCTV устройствата, произведени от компанията, имат стартирани NTP и FTP услуги с “hardcoded” потребител и парола: root/icatch99 и report/8Jg0SR8K50). Познато, нали?

Какво прави този вид ботмрежи специални?

Характерно за семейството на този вид зловредни кодове е сравнително лесното изпълнение и големият брой устройства, които инфектира. Не по-малко важен е и фактът, че оригиналният код за вируса е бил качен в публичното интернет пространство, където много не толкова напреднали хакери  могат да го изтеглят и мутират в различни разновидности, създавайки щамове като Mukashi botnet.

Борбата срещу botnet мрежите продължава

Microsoft обявиха, че на 10 март успешно са терминирали инфраструктурата на една от най-големите SPAM botnet мрежи – Necurs, инфектирала общо над 9 млн. компютъра в глобален мащаб.

Операцията е извършена успешно с помощта на международна полиция и 35 частни компании. Според статистиката, публикувана от изследователите, Индия, Индонезия, Турция, Виетнам, Мексико, Тайланд, Иран, Филипините и Бразилия са държавите с най-голям брой инфектирани машини от зловредния код.

В рамките на 58 дни, колкото е продължило разследването, Microsoft споделят, че са наблюдавали как машини, инфектирани с Necurs, изпращат общо над 3.8 милиона спам имейла на над 40.6 милиона потенциални жертви.

Какво можем да направим, за да се защитим?

 

Свързани материали
Exit mobile version