Главная / Новости / Новая волна атак Mirai использует open-source проект для кросс-платформенного заражения устройств

Новости

« Назад

Новая волна атак Mirai использует open-source проект для кросс-платформенного заражения устройств  24.09.2018 14:03

Продолжают возникать новые варианты Linux.Mirai, заражающие устройства на базе сразу нескольких платформ.

Говоря о ландшафте угроз Интернета вещей  (IoT) можно сказать, что последние несколько лет были полны событий - новые волны ботов для DDoS-атак появлялись с растущей регулярностью. С момента первого зафиксированного случая появления бот-сети Mirai (Linux.Mirai) в 2016 году, после которого произошла утечка исходного кода этого вредоносного кода, число вариантов этого семейства вируса постоянно росло, его успеху способствовала среда плохо управляемых устройств Интернета вещей. Как таковой, рынок Интернета вещей чрезмерно фрагментирован, большинство устройств не имеют обновлений защиты от известных уязвимостей. В довершение ко всему, создатели вредоносного кода продолжают совершенствовать эти варианты, делая их более мощным и способными инфицировать устройства на различных платформах и с различными архитектурами.

Использование open-source проектов

Одним из основных слабых мест кроссплатформенной бот-сети Интернета вещей является его переносимость. Вредоносный код должен запускаться на устройствах с разной архитектурах и на разных платформах в автономной капсуле без каких-либо неожиданностей во время выполнения кода и без ошибок конфигурации. Это как раз та область, где многие неопытные разработчики вредоносных программ или хакеры-дилетанты, проигрывают, если они просто копируют и используют существующий код.

В конце июля этого года был обнаружен реальный удаленный сервер, на котором размещалось множество вариантов вредоносного кода, каждый предназначался для конкретной платформы. Как и во многих других  случаях заражения кодом Mirai, эти варианты начинали с запуска сценария оболочки на уязвимом устройстве. Сценарий оболочки последовательно пытался загрузить и исполнить отдельные исполняемые файлы один за другим, пока не был найден бинарный код, совместимый с текущей архитектурой.

Figure 1. The shell script downloads executables one by one until it finds one that works with the current architecture.png

Рисунок 1. Сценарий оболочки скачивает исполняемые коды один за другим, пока не будет найден тот, который работает с текущей архитектурой

Успешно запущенные исполняемый файлы отвечают за реальную полезную нагрузку Mirai – вычисление списка IP- адресов путем составления списка произвольных адресов и сканирования в поисках устройств с заводскими учетными данными или уязвимостями.

Хотя это поведение аналогично поведению других вариантов Mirai, которое мы наблюдали ранее, интересным его делаем компилированный бинарный код. Эти варианты были созданы с помощью open-source проекта под названием Aboriginal Linux, сделало процесс кросс-компиляции простым, эффективным и практически безотказным. Следует отметить, что в самом open-source проекте не было ничего вредоносного или неправильного, разработчики вируса снова использовали легальные инструменты для создания кода, в этот раз с помощью эффективного кросс-платформенного решения.

Какой результат этого процесса?

Принимая во внимание то, что существующая кодовая база объединена с элегантной платформой кросс-компиляции, получившиеся варианты вредоносного кода являются более устойчивыми и совместимыми с многочисленными архитектурами и устройствами. Это позволяет запускать их на множестве разных устройств: маршрутизаторах, IP-камерах, подключенных устройствах и даже Android устройствах. Например, на Рисунке 2 показан вариант ARM7, запущенный на устройстве под управлением Android 4.4, а на Рисунке 3 представлен образец, запущенный на устройстве Debian ARM.

Figure 2. Sample running on Android 4.4

Рисунок 2. Образец, запущенный на Android 4.4

Figure 3. Sample being debugged in a Debian ARM port

Рисунок 3. Образец, отлаженный на порту Debian ARM

Оставшийся функционал вредоносной программы соответствует хорошо известному поведению Mirai. Например, когда исполняется образец в заключенной среде, код пытается сканировать свыше 500 000 IP- адресов, полученных с помощью произвольной генерации, описанной выше, а затем пытается отправлять сырые пакетные данные через порт 23.

Защита

Продукты Symantec и Norton определяют эту угрозу как

Устранение угрозы

Для защиты устройств Интернета вещей от инфицирования этим вредоносным кодом Symantec дает следующие советы.

  • Исследуйте возможности и функции безопасности на устройстве Интернета вещей перед покупкой.
  • Выполняйте аудит устройств Интернета вещей, используемых в вашей сети.
  • Измените заводские учетные данные на устройствах. Используйте сильные и уникальные пароли для учетных записей устройств и беспроводных сетей.
  • Используйте надежный метод шифрования при настройке доступа к Wi-Fi сети (WPA).
  • Отключите ненужные функции и службы.
  • Отключите учетное имя Telnet и используйте SSH там, где это возможно.
  • Отключите универсальную автоматическую настройку сетевых устройств (UPnP) на маршрутизаторах, если в этом нет абсолютной необходимости.
  • Изменить заводские настройки конфиденциальности и безопасности устройств Интернета вещей в соответствии с вашими требованиями и политиками безопасности.
  • Отключите или защитите удаленный доступ к устройствам Интернета вещей, если в этом нет необходимости.
  • Используйте по возможности проводное соединение вместо беспроводного.
  • Регулярно проверяйте наличие обновления прошивки на  сайте производителя.
  • Убедитесь, что бездействие устройства не приводит к незащищенному состоянию устройства.

Источник ►