Через месяц после открытия нового варианта Mirai Trend Micro Я нашел другой образец. Как и в предыдущих вариантах, злоумышленники могут получить удаленный доступ и контроль над открытыми портами и стандартными учетными данными на устройствах IoT. Например, злоумышленники могут использовать зараженные устройства для распределенных атак типа «отказ в обслуживании» (DDoS), используя различные методы (например, затопление). UDP) .4
Mirai – одно из самых известных семейств вредоносных программ в мире Интернета вещей (IoT). Этот известный ботнет был открыт в 2016 году. Этот пример отличается от других вариантов, поскольку киберпреступники использовали сервер управления и контроля (C & C) в сети Tor по причинам анонимности. Это может быть тенденция, которая продолжает развиваться как сервер C & C среди разработчиков вредоносных программ IoT.
Как работает новая атака
Trend Micro предупреждает, что в других традиционных образцах Mirai есть от одного до четырех серверов C & C, но этот образец содержит 30 закодированных адресов. Во время исследования связи между устройством и серверами в закрытой среде изолированной программной среды пример отправил определенную последовательность «05 01 00», начальное приветственное сообщение для протокола socks5. Затем исследователи отправили сообщение на серверы и получили носки «05 00» с большинства адресов, подтверждая, что они являются прокси для носков Tor. Это также было проверено проверкой Шодана в результате поиска, который показал активные прокси-серверы на серверах.
Анализируя протокол связи, использованный в образце, исследователи обнаружили, что, за исключением использования разъема sock5, он был аналогичен протоколам предыдущих вариантов Mirai. Также была идентифицирована последовательность байтов, которая указывает на команду DDoS, отправленную сервером C & C через атаку UDP-потока на определенный IP-адрес.
Ища примеры и аналогичную информацию для сравнения, другие программы с открытым исходным кодом, такие как VirusTotal, сгенерировали то же хеш-значение из того же исходного URL-адреса. Это был открытый каталог с другими примерами из других архитектур. Другие детали в отчете также показали второй сервер распространения.
Исследователи Trend Micro считают этот пример интересным, поскольку злоумышленники решили установить сервер C & C на Tor. Вполне вероятно, что вы будете игнорировать отслеживание вашего IP-адреса и предотвратите его отключение при информировании о записях домена. Техника похожа на вредоносную программу BrickerBot, о которой сообщалось в 2017 году, – вариант Tor, использующий методы, аналогичные Mirai. Однако BrickerBot был одним из первых случаев постоянного отказа в обслуживании (PDoS), который по иронии судьбы пытался предотвратить заражение IoT-устройств Mirai и прекратился вскоре после того, как было повреждено более 10 миллионов устройств.
В то время как в предыдущих отчетах сообщалось о других вредоносных программах, скрывающих свои C & C в Tor, исследователи считают, что это возможный прецедент для других развивающихся семейств вредоносных программ IoT. Из-за среды Tor сервер остается анонимным, поэтому создатель вредоносного ПО и / или владелец C & C не могут быть идентифицированы. Это означает, что сервер продолжает функционировать, даже если он обнаружен. Сетевой трафик может маскироваться под законный и оставаться зашифрованным. Из-за других возможных законных применений Tor, он не будет в черном списке.
Наличие другого сервера распространения и других примеров различных архитектур устройств может указывать на то, что эти киберпреступники пытаются использовать этот процесс в больших масштабах. Однако системы обнаружения сигнатур и основанные на поведении механизмы могут обнаруживать и блокировать эти вредоносные атаки.
Как необходима осторожность?
Пользователям и компаниям рекомендуется обновлять свои сетевые системы и устройства с помощью последних исправлений, изменять учетные данные по умолчанию для сложных паролей и использовать различные системы идентификации для предотвращения несанкционированного доступа. Избегайте подключения к незащищенным сетям за пределами доверенной области, чтобы ограничить риск вторжения через открытые и общедоступные сети.
Вы должны прочитать это тоже!
Тревога! Новое Android вымогателей распространяется через SMS
Уязвимость WhatsApp может изменить содержание сообщения.
