Cum să vă asigurați routerul împotriva atacurilor Mirai Botnet

O strategie folosită de atacatorii rău intenționați pentru a-și extinde atacurile cibernetice este utilizarea botnet-urilor.

Un botnet este o rețea de computere care au fost infectate cu programe malware și sunt controlate de la distanță de un actor rău intenționat. Un astfel de actor rău intenționat care controlează un grup de computere infectate se numește păstor de bot. Dispozitivele individuale infectate sunt denumite boți.

Păstorii de roboți comandă și controlează grupul de computere infectate, permițându-le să conducă atacuri cibernetice la o scară mult mai mare. Rețelele bot au fost folosite în mod proeminent în denial of service la scară largă, phishing, atacuri de spam și furtul de date.

Un exemplu de malware care a câștigat notorietate de atunci pentru deturnarea dispozitivelor digitale pentru a crea botnet-uri foarte mari este malware-ul Mirai Botnet. Mirai este un malware pentru botnet care vizează și exploatează vulnerabilitățile din dispozitivele Internet of Things (IoT) care rulează Linux.

La infectare, Mirai deturnează dispozitivul IoT transformându-l într-un bot controlat de la distanță care poate fi folosit ca parte a unui botnet pentru a lansa atacuri cibernetice masive. Mirai a fost scris folosind C și GO.

Malware-ul a câștigat proeminență în 2016, când a fost folosit într-un atac de refuz de serviciu distribuit (DDOS) asupra DYN, un furnizor de sistem de nume de domeniu. Atacul a împiedicat utilizatorii de internet să acceseze site-uri precum Airbnb, Amazon, Twitter, Reddit, Paypal și Visa, printre altele.

Malware Mirai a fost, de asemenea, responsabil pentru atacurile DDOS asupra site-ului de securitate cibernetică Krebs on Security și a companiei franceze de cloud computing OVHCloud.

Cum a fost creată Mirai

Malware-ul Mirai a fost scris de Paras Jha și Josiah White, care la acea vreme erau studenți la 20 de ani și, de asemenea, fondatorii ProTraf Solutions, o companie care oferea servicii de atenuare a DDOS. Mirai Malware a fost scris folosind limbaje de programare C și Go.

Inițial, scopul lor pentru Mirai a fost să distrugă serverele Minecraft concurente folosind atacuri DDOS, astfel încât să poată obține mai mulți clienți eliminând concurența.

Folosirea lor pentru Mirai s-a mutat apoi la extorcare și racket. Cei doi aveau să lanseze atacuri DDOS asupra companiilor, apoi să contacteze companiile pe care le atacaseră pentru a oferi atenuări DDOS.

Mirai Botnet a atras atenția autorităților și a comunității de securitate cibernetică după ce a fost folosit pentru a distruge site-ul Krebs on Security și atacul acestuia asupra OVH. Pe măsură ce Mirai Botnet a început să facă titluri, creatorii au scurs codul sursă către Mirai Botnet pe un forum de hacking accesibil public.

Aceasta a fost probabil o încercare de a le acoperi urmele și de a evita să fie considerați responsabili pentru atacurile DDOS făcute folosind Mirai Botnet. Codul sursă pentru Mirai Botnet a fost preluat de alți criminali cibernetici, iar acest lucru a dus la crearea unor variante ale Mirai Botnet precum Okiru, Masuta și Satori și PureMasuta.

Creatorii Mirai Botnet au fost, însă, ulterior capturați de FBI. Cu toate acestea, ei nu au fost închiși și, în schimb, au primit pedepse mai ușoare, deoarece au cooperat cu FBI în capturarea altor criminali cibernetici și prevenirea atacurilor cibernetice.

Cum funcționează Mirai Botnet

Un atac al Mirai Botnet implică următorii pași:

Mirai Botnet scanează mai întâi adresele IP de pe internet pentru a identifica dispozitivele IoT care rulează Linux pe Arc Processor. Apoi identifică și vizează dispozitivele care nu sunt protejate prin parolă sau care utilizează acreditări implicite.

Odată ce a identificat dispozitivele vulnerabile, Mirai încearcă o varietate de acreditări implicite cunoscute pentru a încerca să obțină acces la rețea la dispozitiv. Dacă dispozitivul utilizează configurații implicite sau nu este protejat cu parolă, Mirai se conectează la dispozitiv și îl infectează.

Mirai Botnet scanează apoi dispozitivul pentru a afla dacă a fost infectat cu alte programe malware. În cazul în care are, elimină toate celelalte programe malware, astfel încât să fie singurul malware de pe dispozitiv, oferindu-i mai mult control asupra dispozitivului.

Un dispozitiv infectat cu Mirai devine apoi parte din Mirai Botnet și poate fi controlat de la distanță de pe un server central. Un astfel de dispozitiv așteaptă pur și simplu comenzi de la serverul central.

Dispozitivele infectate sunt apoi folosite pentru a infecta alte dispozitive sau utilizate ca parte a unei rețele bot pentru a efectua atacuri DDOS la scară largă asupra site-urilor web, serverelor, rețelelor sau altor resurse accesibile pe internet.

Este de remarcat faptul că Mirai Botnet a venit cu intervale de IP pe care nu le-a vizat sau infectat. Acestea includ rețelele private și adresele IP atribuite Departamentului de Apărare al Statelor Unite și Serviciului Poștal al Statelor Unite.

Tipuri de dispozitive vizate de Mirai Botnet

Ținta principală pentru Mirai Botnet sunt dispozitivele IoT care folosesc procesoare ARC. Potrivit lui Paras Jha, unul dintre autorii botului Mirai, majoritatea dispozitivelor IoT infectate și utilizate de Mirai Botnet erau routere.

Cu toate acestea, lista cu potențialele victime pentru Mirai Botnet include și alte dispozitive IoT care folosesc procesoare ARC.

Acestea ar putea include dispozitive inteligente de acasă, cum ar fi camere de securitate, monitoare pentru copii, termostate și televizoare inteligente, dispozitive portabile, cum ar fi trackere de fitness și ceasuri, și dispozitive medicale IoT, cum ar fi monitoare de glucoză și pompe de insulină. Dispozitivele industriale IoT și dispozitivele medicale IoT care folosesc procesoare ARC pot fi, de asemenea, victime ale rețelei botne Mirai.

Cum să detectați o infecție Mirai Botnet

Mirai Botnet este conceput pentru a fi ascuns în atacul său și, prin urmare, detectarea faptului că dispozitivul dvs. IoT este infectat cu Mirai Botnet nu este o sarcină ușoară. Cu toate acestea, nu sunt ușor de detectat. Cu toate acestea, căutați următorii indicatori care ar putea semnala o posibilă infecție Mirai Botnet pe dispozitivul dvs. IoT:

• Conexiune la internet încetinită – Rețeaua botnet Mirai poate provoca încetinirea internetului, deoarece dispozitivele dvs. IoT sunt folosite pentru a lansa atacuri DDOS.
• Trafic neobișnuit în rețea – În cazul în care vă monitorizați în mod regulat activitatea în rețea, este posibil să observați o creștere bruscă a traficului în rețea sau cererile trimise către adrese IP necunoscute
• Performanță redusă a dispozitivului – Dispozitivul dvs. IoT funcționează suboptim sau prezintă un comportament neobișnuit, cum ar fi închiderea sau repornirea de la sine, ar putea fi un indicator al unei posibile infecții Mirai.
• Modificări ale configurațiilor dispozitivelor – Mirai Botnet poate face modificări setărilor dispozitivelor dvs. IoT sau configurațiilor implicite pentru a face dispozitivele mai ușor de exploatat și controlat în viitor. În cazul în care observați modificări în configurațiile dispozitivelor dvs. IoT și nu sunteți responsabil pentru acestea, ar putea indica o posibilă infecție Mirai Botnet.

Deși există semne la care poți fi atent pentru a ști dacă dispozitivul tău a fost infectat, uneori, s-ar putea să nu le observi cu ușurință, pur și simplu pentru că Mirai Botnet este realizat în așa fel încât să fie foarte greu de detectat. Drept urmare, cel mai bun mod de a trata acest lucru este să împiedicați Mirai Botnet să vă infecteze dispozitivele IoT.

Cu toate acestea, în cazul în care bănuiți că a fost detectat un dispozitiv IoT, deconectați-l de la rețea și reconectați dispozitivul numai după ce amenințarea a fost eliminată.

Cum să vă protejați dispozitivele de infecția Mirai Botnet

Strategia cheie a Mirai Botnet în infectarea dispozitivelor IoT este să testeze o mulțime de configurații implicite bine-cunoscute pentru a vedea dacă utilizatorii încă folosesc configurațiile implicite.

Dacă acesta este cazul, Mirai se conectează și infectează dispozitivele. Prin urmare, un pas important în protejarea dispozitivelor dvs. IoT de Mirai Botnet este evitarea folosirii numelor de utilizator și parolelor implicite.

Asigurați-vă că vă schimbați acreditările și folosiți parole care nu pot fi ghicite cu ușurință. Puteți folosi chiar și un generator de parole aleatorii pentru a obține parole unice care nu pot fi ghicite.

Un alt pas pe care îl puteți face este actualizarea regulată a firmware-ului dispozitivului și, de asemenea, instalarea de corecții de securitate ori de câte ori sunt lansate. Companiile lansează adesea patch-uri de securitate în cazul în care sunt descoperite vulnerabilități în dispozitivele lor.

Prin urmare, instalarea de corecții de securitate ori de câte ori sunt lansate vă poate ajuta să rămâneți în fața atacatorilor. În cazul în care dispozitivul dvs. IoT are acces la distanță, luați în considerare și dezactivarea acestuia, în cazul în care nu aveți nevoie de această funcționalitate.

Alte măsuri pe care le puteți lua includ monitorizarea regulată a activității în rețea și segmentarea rețelei dvs. de acasă, astfel încât dispozitivele IoT să nu fie conectate la rețelele critice de acasă.

Concluzie

Deși creatorii Mirai Botnet au fost reținuți de autorități, riscul de infectare Mirai Botnet încă persistă. Codul sursă Mirai Botnet a fost lansat publicului, iar acest lucru a dus la crearea unor variante letale ale Mirai Botnet, care vizează dispozitivele IoT și au mai mult control asupra dispozitivelor.

Prin urmare, atunci când achiziționați dispozitive IoT, caracteristicile de securitate oferite de producătorul dispozitivului ar trebui să fie un aspect cheie. Cumpărați dispozitive IoT care au caracteristici de securitate care previn posibilele infecții cu malware.

În plus, evitați utilizarea configurațiilor implicite pe dispozitivele dvs. și actualizați în mod regulat firmware-ul dispozitivului și instalați toate cele mai recente corecții de securitate ori de câte ori sunt lansate.

De asemenea, puteți explora cele mai bune instrumente EDR pentru a detecta și a răspunde rapid la atacurile cibernetice.