Найти тему
Максим Кульгин
1277 подписчиков

Как защитить маршрутизатор от атак ботнета Mirai

30
7 мин
Оглавление

Стратегия, используемая злоумышленниками для расширения масштабов своих кибератак, заключается в использовании ботнетов. Ботнет — это сеть компьютеров, зараженных вредоносным ПО и удаленно управляемых злоумышленником. Такой злоумышленник, контролирующий группу зараженных компьютеров, называется бот-хедером. Отдельные зараженные устройства называются ботами. Бот-пастухи управляют и контролируют группу зараженных компьютеров, что позволяет им проводить кибератаки в гораздо больших масштабах. Бот-сети активно использовались для масштабных атак типа «отказ в обслуживании», фишинга, рассылки спама и кражи данных.

Примером вредоносного ПО, получившего известность благодаря захвату цифровых устройств для создания очень крупных ботнетов, является вредоносная программа Mirai Botnet. Mirai — это вредоносная программа-ботнет, которая нацелена на уязвимости в устройствах Интернета вещей (IoT) под управлением Linux и использует их. После заражения Mirai захватывает IoT-устройство, превращая его в дистанционно управляемого бота, который может быть использован как часть ботнета для проведения массированных кибератак. Mirai был написан с использованием языков C и GO.

Вредоносная программа получила широкую известность в 2016 году, когда она была использована в распределенной атаке типа «отказ в обслуживании» (DDOS) на DYN, провайдера системы доменных имен. В результате атаки пользователи интернета не могли получить доступ к таким сайтам, как Airbnb, Amazon, Twitter, Reddit, Paypal, Visa и другим. Вредоносная программа Mirai также была ответственна за DDOS-атаки на сайт по кибербезопасности Krebs on Security и французскую компанию облачных вычислений OVHCloud.

Как была создана Mirai

Вредоносная программа Mirai была написана Парасом Джа и Джосайей Уайтом, которые в то время были студентами в возрасте около 20 лет, а также основателями компании ProTraf Solutions, предлагавшей услуги по защите от DDOS. Вредоносная программа Mirai была написана с использованием языков программирования C и Go. Первоначально целью Mirai было уничтожение конкурирующих серверов Minecraft с помощью DDOS-атак, чтобы получить больше клиентов за счет устранения конкурентов. Затем их цель использования Mirai сменилась на вымогательство и рэкет. Дуэт запускал DDOS-атаки на компании, а затем обращался к компаниям, которые они атаковали, чтобы предложить смягчение последствий DDOS. Ботнет Mirai привлек внимание властей и сообщества кибербезопасности после того, как с его помощью был уничтожен сайт Krebs on Security и атака на OVH.

Как только Mirai Botnet начал попадать в заголовки газет, создатели слили исходный код Mirai Botnet на общедоступном хакерском форуме. Вероятно, это была попытка замести следы и избежать ответственности за DDOS-атаки, совершенные с помощью Mirai Botnet. Исходный код Mirai Botnet был взят на вооружение другими киберпреступниками, что привело к созданию таких вариантов Mirai Botnet, как Okiru, Masuta и Satori, а также PureMasuta. Создатели ботнета Mirai были, однако, позже схвачены ФБР. Однако они не были заключены в тюрьму, а получили более мягкие приговоры, поскольку сотрудничали с ФБР в поимке других киберпреступников и предотвращении кибератак.

Как работает ботнет Mirai

-2

Атака Mirai Botnet включает в себя следующие шаги:

  1. Ботнет Mirai сначала сканирует IP-адреса в Интернете, чтобы определить IoT-устройства, работающие под управлением Linux на процессоре Arc. Затем он определяет устройства, которые не защищены паролем или используют стандартные учетные данные.
  2. Выявив уязвимые устройства, Mirai пробует различные известные стандартные учетные данные, чтобы попытаться получить доступ к устройству по сети. Если устройство использует конфигурации по умолчанию или не защищено паролем, Mirai входит в устройство и заражает его.
  3. Затем Mirai Botnet сканирует устройство на предмет заражения другими вредоносными программами. В случае заражения он удаляет все другие вредоносные программы, так что он остается единственным вредоносным ПО на устройстве, что дает ему больше контроля над устройством.
  4. Зараженное Mirai устройство становится частью Mirai Botnet, и им можно удаленно управлять с центрального сервера. Такое устройство просто ожидает команд от центрального сервера.
  5. Зараженные устройства затем используются для заражения других устройств или используются как часть ботнета для проведения масштабных DDOS-атак на веб-сайты, серверы, сети или другие ресурсы, доступные в Интернете.

Стоит отметить, что в ботнете Mirai присутствуют диапазоны IP-адресов, на которые он не нацеливался и которые не заражал. К ним относятся частные сети и IP-адреса, закрепленные за Министерством обороны США и Почтовой службой США.

Типы устройств, на которые нацелен ботнет Mirai

-3

Основной целью ботнета Mirai являются IoT-устройства, использующие процессоры ARC. По словам Параса Джа, одного из авторов бота Mirai, большинство IoT-устройств, зараженных и используемых ботнетом Mirai, были маршрутизаторами. Однако в список потенциальных жертв ботнета Mirai входят и другие IoT-устройства, использующие процессоры ARC. Это могут быть устройства «умного дома», такие как камеры безопасности, радионяни, термостаты и «умные» телевизоры, носимые устройства, такие как фитнес-трекеры и часы, и медицинские IoT-устройства, такие как мониторы глюкозы и инсулиновые помпы. Промышленные IoT-устройства и медицинские IoT-устройства, использующие процессоры ARC, также могут стать жертвами ботнета Mirai.

Как обнаружить заражение ботнетом Mirai

-4

Mirai Botnet разработан для скрытного нападения, и поэтому обнаружить, что ваше IoT-устройство заражено Mirai Botnet, — задача не из легких. Однако обнаружить его не так-то просто. Тем не менее, обратите внимание на следующие индикаторы, которые могут сигнализировать о возможном заражении Mirai Botnet на вашем IoT-устройстве:

  • Замедленное интернет-соединение — Mirai botnet может вызвать замедление работы вашего интернета, поскольку ваши IoT-устройства используются для проведения DDOS-атак.
  • Необычный сетевой трафик — если вы регулярно отслеживаете сетевую активность, вы можете заметить внезапное увеличение сетевого трафика или запросы, отправляемые на незнакомые IP-адреса.
  • Снижение производительности устройства — неоптимальная работа вашего IoT-устройства или необычное поведение, например, выключение или самостоятельный перезапуск, может быть признаком возможного заражения Mirai.
  • Изменения в конфигурации устройства — Mirai Botnet может вносить изменения в настройки или конфигурации по умолчанию ваших IoT-устройств, чтобы облегчить эксплуатацию и контроль устройств в будущем. Если вы заметили изменения в конфигурации ваших IoT-устройств, и вы не несете за них ответственность, это может указывать на возможное заражение Mirai Botnet.

Хотя существуют признаки, по которым вы можете определить, заражено ли ваше устройство, иногда вы можете не заметить их просто потому, что Mirai Botnet сделан таким образом, что его очень трудно обнаружить. Поэтому лучший способ борьбы с ним — предотвратить заражение Mirai Botnet ваших IoT-устройств. Однако если вы подозреваете, что IoT-устройство было обнаружено, отключите его от сети и подключите снова только после устранения угрозы.

Как защитить свои устройства от заражения Mirai Botnet

-5

Ключевая стратегия ботнета Mirai при заражении IoT-устройств заключается в тестировании множества известных конфигураций по умолчанию, чтобы проверить, продолжают ли пользователи использовать конфигурации по умолчанию. Если это так, Mirai входит в систему и заражает устройства. Поэтому важным шагом в защите ваших IoT-устройств от Mirai Botnet является отказ от использования стандартных имен пользователей и паролей. Обязательно меняйте свои учетные данные и используйте пароли, которые невозможно легко угадать. Вы даже можете использовать генератор случайных паролей, чтобы получить уникальные пароли, которые невозможно угадать.

Еще один шаг, который вы можете предпринять, — регулярно обновлять прошивку вашего устройства, а также устанавливать исправления безопасности, когда они выходят. Компании часто выпускают исправления безопасности в случае обнаружения уязвимостей в своих устройствах. Поэтому установка исправлений безопасности, когда они выходят, поможет вам опередить злоумышленников. Если ваше IoT-устройство имеет удаленный доступ, подумайте о том, чтобы отключить его, если вам не нужна эта функция. Другие меры, которые вы можете принять, включают регулярный мониторинг сетевой активности и сегментирование домашней сети таким образом, чтобы IoT-устройства не были подключены к критическим сетям дома.

Заключение

Хотя создатели Mirai Botnet были задержаны властями, риск заражения Mirai Botnet все еще сохраняется. Исходный код Mirai Botnet был выложен в открытый доступ, и это привело к созданию смертоносных вариантов Mirai Botnet, которые нацелены на IoT-устройства и имеют больший контроль над ними. Поэтому при покупке IoT-устройств следует обращать внимание на средства безопасности, предлагаемые производителем устройства. Покупайте IoT-устройства, оснащенные функциями безопасности, которые предотвращают возможное заражение вредоносным ПО. Кроме того, избегайте использования стандартных конфигураций в устройствах, регулярно обновляйте прошивку устройства и устанавливайте все последние исправления безопасности, когда они выходят.

Подключи защиту от кликфрода

Взгляните на эти темы
Гаджеты и электроника
Технологии и IT
Найти тему
Кибербезопасность
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Веб-разработка
Мобильная разработка
Кибербезопасность
25,6 тыс интересуются