mirai botnet là gì

Thế nhưng tin xấu ở đây là gì? Lần cuối cùng cả thế giới rúng động vì một cuộc tấn công DDoS với lưu lượng 1 Terabit là vào năm 2016. Khi đó, mạng botnet Mirai - một đạo quân gồm các máy tính bị nhiễm mã độc - đã đánh bom một nhà cung cấp dịch vụ đám mây của Các nền kinh tế dựa trên niềm tin này là những gì GSENetwork đang được phát triển để phục vụ. Mạng botnet Mirai là cuộc tấn công phần mềm độc hại đầu tiên trong số các thiết bị IoT không an toàn để khởi động một cuộc tấn công từ chối dịch vụ phân tán (DDoS Dưới đây là tóm tắt về những gì trình quản lý mật khẩu làm về mặt giám sát. LastPass. Như trường hợp của mạng botnet Mirai, những điểm yếu như vậy trong IoT có thể dẫn đến các cuộc tấn công đối với bất kì mục tiêu nào. Botnet Mirai đã làm gián đoạn nhiều Có thêm 800% các cuộc tấn công Mirai trong nửa đầu năm 2019 so với nửa đầu năm 2018. Phần mềm độc hại Mirai đã lây nhiễm nhiều thiết bị IoT, tạo ra một mạng botnet bắt đầu các cuộc tấn công từ chối dịch vụ phân tán vào nạn nhân của chúng. Mirai là một loại mã độc lây nhiễm vào các thiết bị IoT (camera an ninh, router, máy in,) và biến chúng thành một mạng máy tính ma ( botnet) nhằm mục đích tấn công từ chối dịch vụ DDoS, được phát hiện lần đầu vào tháng 8/2016. Site De Rencontres 100 Pour 100 Gratuit. Trong lĩnh vực CNTT có rất nhiều mối đe dọa khác nhau nhắm đến các dữ liệu quan trọng của người dùng và các doanh nghiệp. Một trong số đó là Mirai Botnet, một phần mềm độc hại được thực hiện bằng cách lây nhiễm vào thiết bị loT. Hãy cùng tìm hiểu chi tiết hơn trong vài viết dưới Botnet là gì?Mirai là phần mềm độc hại mà kẻ tấn công sử dụng để biến các thiết bị chạy trên bộ xử lý ARC thành Botnet hoặc Zombies. Trong đó, Botnet là mạng độc hại được sử dụng để khởi động các cuộc tấn công DDoS. Các phần mềm độc hại phổ biến khác như Computer Worm, Virus, Trojan Horse, Rootkit và 9 năm 2016, kẻ tấn công sử dụng đã tấn công vào trang web của một chuyên gia bảo mật lớn bằng cách thực hiện cuộc tấn công dựa vào Mirai. Để che giấu nguồn gốc cuộc tấn công, chúng sẽ chia sẻ các mã nguồn ra bên ngoài với mục đích cho nhiều tin tặc khác sao chép và đánh hoạt động như thế nào?Bộ xử lý ARC chạy phiên bản tóm tắt của hệ điều hành Linux bao gồm các thiết bị loT. Phần mềm độc hại Mirai sẽ thực thi quét Internet để tìm và tấn công các thiết bị đó thông qua tên và mật – Internet of Things là các thiết bị thông minh hoạt động dựa trên Internet, chẳng hạn như bộ định tuyến mạng, thiết bị y tế, thiết bị gia dụng, Camera CC, tai nghe hay thiết bị giám Botnet do ai triển khai?Công ty Protraf Solutions do Paras Jha và Josiah White hợp tác phát triển. Mục đích là cung cấp cho doanh nghiệp các biện pháp phòng tránh cuộc tấn công DDoS từ Mirai cũng do họ triển nguy hiểm từ phần mềm MiraiSau khi điều tra và thành công bắt được người triển khai ra Mirai, nhưng mã nguồn của phần mềm độc hại này vẫn chưa được loại bỏ triệt để. Sau một thời gian, Mirai đã xuất hiện nhiều biến thể khác như Okiru, Satori, Masuta và Pure số Mirai Botnet mới như RIoTrooper và Reaper có tốc độ tấn công khá nhanh nhắm vào các thiết bị loT. Trong đó, Reaper thường tấn công các công ty sản xuất thiết bị lớn bởi nó sở hữu khả năng kiểm soát rất số mô hình Botnet phổ biếnBotnet có một số mô hình phổ biến như sauCentralized BotnetCentralized Botnet nhắm đến các máy chủ C&C bằng cách xâm nhập và lây nhiễm phần mềm độc hại vào Botnet của hệ thống máy chủ đó. Cụ thể, các Bot sẽ truyền tín hiệu theo thời gian nhằm đánh lừa C&C rằng nó đã tồn tại. Sau đó, nó sẽ đợi cho đến khi C&C thực hiện các công việc để thu thập mật khẩu hoặc tấn công C&CBotnet được quản lý và phân chia thành nhiều Tiered và C&C. Mỗi một thiết bị được nhắm đến sẽ có mục tiêu tấn công khác nhau. Chẳng hạn như kẻ tấn công sẽ phân chia các Bot lớn thành nhiều Bot nhỏ khiến cho Botnet trở nên mạnh BotnetP2P Botnet là phần mềm mới được triển khai không có C&C, nó có thể hoạt động giống như một máy chủ lệnh và máy khách nhận lệnh. Điều này nhằm tránh các sự cố liên quan đến Centralized Botnet và khó bị phá mềm độc hại xâm nhập vào các thiết bị loT như thế nào?Để xâm nhập và biến các thiết bị loT thành Bot hoặc Zombie, kẻ tấn công sẽ thực hiện gửi một Email giả mạo đến hệ thống máy tính nạn nhân. Nếu người dùng nhấp vào link liên kết hoặc tệp đính kèm độc hại được tin tặc cài đặt sẵn thì thiết bị sẽ bị nhiễm độc thể hơn, kẻ tấn công có thể sử dụng Mirai để xâm nhập vào thiết bị bằng cách sử dụng tên người dùng và mật khẩu mặc định trên thiết bị mới được cài đặt đó. Cách tấn công này nhanh hơn và có tỷ lệ thành công khá liên hệ giữa Mirai và gian lận CPCPPC hay CPC – chi phí phải trả cho mỗi cú nhấp chuột là một trong những phương thức quảng cáo trực tuyến. Trong đó, công ty A sẽ trả tiền cho trang web của doanh nghiệp B để quảng bá sản phẩm của họ. Càng nhiều lượt truy cập vào trang web thì số tiền càng tấn công mạng thường lợi dụng CPC bằng cách gian lận dữ liệu nhấp chuột trên trang web. Cụ thể, công ty A sẽ sử dụng phần mềm tự động hoặc Bot để nhấp quảng cáo theo cách thủ công. Như vậy, lợi nhuận gian lận có thể được tạo ra cho trang web với chi phí của doanh nghiệp đặt các quảng cáo vì hậu quả mà gian lận CPC gây ra khá nghiêm trọng. Nên một số cá nhân sử dụng Mirai với mục đích cho thuê Botnet để thực hiện các gian lận nhấp chuột hay các cuộc tấn công DDoS đã bị điều tra và kết án khá nguy hiểm như thế nào?Botnet nhắm đến các đối tượng người dùng và dữ liệu, đem đến một số hậu quả như sauThực hiện các cuộc tấn công ISP và DDoS trên hệ các Email giả mạo với tệp đính kèm độc bỏ các trang web và hiện các cuộc CPC gian mạo những hành vi đăng nhập của người dùng trên một số CAPTCHA yếu của trang cắp các thông tin quan trọng của người dùng như thẻ tín tiền các công ty với các mối đe dọa tấn công thách thức trong việc ngăn chặn BotnetDưới đây là một số khó khăn trong vấn đề ngăn chặn BotnetChủ sở hữu thiết bị loTMột số chủ sở hữu thiết bị loT không có đủ chi phí để mua các dịch vụ hay công cụ bảo mật hiện đại. Chẳng hạn như họ cần thay đổi mật khẩu của mình hoặc ngăn chặn thiết bị truy cập Internet khi có đặt lại chương trình cơ thiết bị nhiễm phần mềm độc hại có các lưu lượng được truyền qua mạng không đáng kể so với lưu lượng được phát trực tuyến trên các phương tiện truyền nhà sản xuất thiết bịMột số nhà sản xuất các sản phẩm giá rẻ sẽ ít có xu hướng đầu tư vào hệ thống bảo mật. Điều này tạo điều kiện cho kẻ tấn công dễ dàng nhắm đến họ, chẳng hạn như sử dụng Mirai để vô hiệu hóa phần mềm chống lượng thiết bịViệc bộ xử lý ARC cung cấp hàng tỷ thiết bị hàng năm đã tạo điều kiện cho kẻ tấn công lợi dụng chúng để đưa vào Botnet. Tức là lây nhiễm các phần mềm độc hại vào thiết bị giản hóaMột số công cụ Botnet có chi phí khá rẻ chỉ từ 14,99 đến 19,99$ trong một tháng. Nó được sử dụng để bỏ qua các yêu cầu phức tạp về công nghệ để thực thi quá trình tấn công nhanh chuẩn bảo mật IoT toàn cầuHiện tại, loT không có các tiêu chuẩn bảo mật toàn cầu mà chỉ có một số bản vá bảo mật có sẵn. Tuy nhiên, các bản vá này không khả thi đối với người dùng thông thường. Lập trình viên và nhà phát triển cũng không có các biện pháp an toàn cho hành luật toàn cầuBởi vì k International Criminal Police Organization ít có khả năng bắt kịp các công nghệ và thủ đoạn tinh vi của kẻ tấn công. Nên quá trình tìm kiếm tin tặc sử dụng Botnet trở nên khó khăn và bất khả có ảnh hưởng đến hiệu suất của các thiết bị loT không?Botnet khiến cho các thiết bị loT bị nhiễm giảm hiệu suất hoạt động. Tuy nhiên, các chủ sở hữu của những thiết bị này thường không có khả năng phát hiện, chống lại sự lây nhiễm của kếtMirai Botnet là một trong những phần mềm độc hại nguy hiểm gây ra nhiều hậu quả cho cá nhân và các doanh nghiệp. Hy vọng thông qua bài viết này bạn đọc đã hiểu hơn về loại tấn công DDoS này và tìm ra biện pháp phòng tránh hiệu quả còn gặp bất cứ vướng mắc gì về virus Mirai, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành botnet là gìvirus mirai More than three years after its first appearance, the Mirai botnet is still one of the biggest threats to IoT. Learn about its variants and how to protect against them. The Mirai botnet has been a constant IoT security threat since it emerged in fall 2016. The subsequent release of its source code only extended Mirai's reach and is one of the many reasons NetScout labeled it the "king of IoT malware." While Mirai's distributed denial-of-service capabilities aren't anything researchers haven't seen before, "when wielded by a capable attacker, it can launch high-volume, nontrivial DDoS attacks," said Richard Hummel, ASERT threat research manager at NetScout. Its segmented command and control is instrumental to launching simultaneous attacks against multiple unrelated targets, he added. Mirai DDoS attack capabilities include SYN flooding, User Datagram Protocol flooding, ACK flooding and HTTP GET, POST and HEAD attacks. Mirai continues to be successful for a well-known reason Its targets are IoT devices with hardcoded credentials found in a simple web search. Such devices, Hummel said, listen for inbound telnet access on certain ports and have backdoors through which Mirai can enter. Once a device is subsumed in the botnet, he added, it immediately scans for other victims. "The mean time to compromise a vulnerable IoT device is 10 minutes or less," Hummel said. "This means compromised devices that are switched off or rebooted will almost certainly be recompromised unless proactive steps are taken to shield TCP/23, TCP/2323 and TCP/103 access." NetScout research found more than 20,000 unique Mirai samples and variants in the first half of 2019, a number Hummel said dipped slightly in the latter half of the year. Here, Hummel discusses why Mirai is still so prevalent more than three years after its initial attacks and offers advice on how enterprises can defend against it. Editor's note This interview has been edited for length and clarity. Why is the Mirai IoT botnet still such a threat to connected devices? Richard Hummel Richard Hummel The release of the Mirai source code made it trivial for a threat actor with little to no skill to build his own IoT botnets. Many IoT devices, such as home routers, are installed and rarely patched. Updating the original Mirai source code to include newly discovered exploits and hardcoded credentials translates into why we see a rising number of Mirai-based botnets. What are some of the top Mirai variants you're seeing? Hummel The variants we are seeing work like the original Mirai botnet. Threat actors modify the original Mirai source code to include newly released hardcoded credentials and vulnerabilities to exploit vulnerable IoT devices. We also see a mixture of the original DDoS attacks included from the Mirai source code. The top five variants seen by NetScout's honeypot network for 2019 were IZ1H9, Ex0, Ares, LZRD and Miori. Do you expect to see the same number of Mirai variants in 2020 and beyond? Hummel Because of the sheer number of IoT devices coming online - Verizon predicted billion devices to connect by 2020 - they will continue to be targeted by threat actors. Mirai and its variants will continue to dominate the IoT malware landscape in 2020, and we will also see a handful of unique, non-Mirai-based IoT malware as well. Is Mirai solely an IoT threat? What other devices or systems does it target? Hummel Mirai-based variants are continually evolving. In the past three years, we have witnessed Mirai variants target Ethereum mining clients and Linux servers running vulnerable versions of Hadoop YARN. What steps can enterprises take to prevent Mirai and other IoT malware from being successful? Hummel Consumers need to change default credentials and patch and update their IoT devices. When possible, apply proper access controls. From an organizational perspective, the same applies Change default credentials, implement proper patching and updating, apply access controls and deploy DDoS mitigation strategies. This was last published in February 2020 Dig Deeper on Network security botnet By Katie Terrell Hanna It’s all about the bots Examining key trends in 2020 By Derek Manky Mirai descendants dominate IoT threat environment By Alex Scroxton New Mirai malware variant targets enterprise devices By Mekhala Roy O que é Mirai? Mirai é um malware que infecta dispositivos inteligentes que rodam em processadores ARC, transformando-os em uma rede de bots ou "zumbis" controlados remotamente. Essa rede de bots, chamada de botnet, é frequentemente usada para lançar ataques DDoS. Malware, abreviação de software malicioso, é um termo abrangente que inclui worms de computador, vírus, cavalos de Troia, rootkits e spyware. Em setembro de 2016, os autores do malware Mirai lançaram um ataque DDoS no site de um conhecido especialista em segurança. Uma semana depois, eles divulgaram o código-fonte para o mundo, possivelmente na tentativa de esconder as origens desse ataque. Esse código foi rapidamente replicado por outros cibercriminosos e acredita-se que esteja por trás do ataque maciço que derrubou o provedor de serviços de registro de domínio, Dyn, em outubro de 2016. Como funciona o Mirai? O Mirai verifica a internet em busca de dispositivos de IoT que são executados no processador ARC. Este processador executa uma versão simplificada do sistema operacional Linux. Se a combinação padrão de nome de usuário e senha não for alterada, o Mirai poderá fazer login no dispositivo e infectá-lo. IoT, abreviação de Internet das Coisas, é apenas um termo moderno para dispositivos inteligentes que podem se conectar à internet. Esses dispositivos podem ser babás eletrônicas, veículos, roteadores de rede, dispositivos agrícolas, dispositivos médicos, dispositivos de monitoramento ambiental, eletrodomésticos, DVRs, câmeras CC, fones de ouvido ou detectores de fumaça. A botnet Mirai empregou cem mil dispositivos de IoT sequestrados para derrubar o Dyn. Quem foram os criadores da botnet Mirai? Paras Jha, de 21 anos, e Josiah White, de 20 anos, cofundaram a Protraf Solutions, uma empresa que oferece serviços de mitigação de ataques DDoS. O caso deles era um caso clássico de extorsão seus negócios ofereciam serviços de mitigação de DDoS para as mesmas organizações que seu malware atacava. Por que o malware Mirai continua perigoso? O Mirai está mudando. Embora seus criadores originais tenham sido capturados, seu código-fonte continua vivo. Ele deu origem a variantes como o Okiru, o Satori, o Masuta e o PureMasuta. O PureMasuta, por exemplo, é capaz de armar o bug HNAP em dispositivos D-Link. A cepa OMG, por outro lado, transforma dispositivos de IoT em proxies que permitem que os cibercriminosos permaneçam anônimos. Há também a recentemente descoberta - e poderosa - botnet, apelidada de IoTrooper e Reaper, que é capaz de comprometer dispositivos de IoT a uma taxa muito mais rápida que a Mirai. A Reaper é capaz de atingir um número maior de fabricantes de dispositivos e tem um controle muito maior sobre seus bots. Quais são os vários modelos de botnets? Botnets centralizadas Se você pensar em uma botnet como uma peça teatral, o servidor C&C Servidor de Comando e Controle, também conhecido como C2 é seu diretor. Os atores desta peça são os vários bots que foram comprometidos pela infecção por malware e fazem parte da botnet. Quando o malware infecta um dispositivo, o bot envia sinais cronometrados para informar ao C&C que ele já existe. Esta sessão de conexão é mantida aberta até que o C&C esteja pronto para comandar o bot para fazer sua oferta, que pode incluir envio de spam, quebra de senha, ataques DDoS, etc. Em uma botnet centralizada, o C&C é capaz de transmitir comandos diretamente aos bots. No entanto, o C&C também é um ponto único de falha se retirado, a botnet se torna ineficaz. C&Cs em camadas O controle da botnet pode ser organizado em várias camadas, com vários C&Cs. Grupos de servidores dedicados podem ser designados para uma finalidade específica, por exemplo, para organizar os bots em subgrupos, fornecer conteúdo designado e assim por diante. Isso torna a botnet mais difícil de derrubar. Botnets descentralizadas Botnets peer-to-peer P2P são a próxima geração de botnets. Em vez de se comunicar com um servidor centralizado, os bots P2P atuam como um servidor de comando e como um cliente que recebe comandos. Isso evita o problema de ponto único de falha, inerente às botnets centralizadas. Como as botnets P2P operam sem C&C, elas são mais difíceis de encerrar. e Stormnet são exemplos de malware por trás de botnets P2P. Como o malware transforma os dispositivos de IoT em bots ou zumbis? Em geral, o phishing por e-mail é uma maneira comprovadamente eficaz de infectar o computador - a vítima é induzida a clicar em um link que aponta para um site malicioso ou baixar um anexo infectado. Muitas vezes o código malicioso é escrito de tal forma que o software antivírus comum não consegue detectá-lo. No caso do Mirai, o usuário não precisa fazer nada, além de deixar inalterados o nome de usuário e a senha padrão em um dispositivo recém-instalado. Qual é a conexão entre o Mirai e a fraude de cliques? O pay-per-click PPC, também conhecido como custo por clique CPC, é uma forma de publicidade on-line na qual uma empresa paga a um site para hospedar seu anúncio. O pagamento depende de quantos visitantes desse site clicaram nesse anúncio. Quando os dados de CPC são manipulados de forma fraudulenta, é conhecido como fraude de cliques. Isso pode ser feito fazendo com que as pessoas cliquem manualmente no anúncio, usando software automatizado ou com bots. Por meio desse processo, lucros fraudulentos podem ser gerados para o site às custas da empresa que coloca esses anúncios. Os autores originais da Mirai foram condenados por alugar sua botnet para ataques DDoS e fraude de cliques. Por que as botnets são perigosas? As botnets têm o potencial de impactar praticamente todos os aspectos da vida de uma pessoa, usando ou não dispositivos de IoT ou até mesmo a internet. As botnets podem atacar provedores, resultando em negação de serviço para tráfego legítimo às vezes enviar e-mail de spam lançar ataques DDoS e derrubar sites e APIs realizar fraudes de cliques resolver desafios fracos CAPTCHA em sites para imitar o comportamento humano durante os logins roubar informações de cartão de crédito obrigar empresas a pagar resgates com ameaças de ataques DDoS Por que a proliferação de botnets é tão difícil de conter? Há muitas razões pelas quais é tão difícil parar a proliferação de botnets Proprietários de dispositivos de IoT Não há custo ou interrupção no serviço, portanto, não há incentivo para proteger o dispositivo inteligente. Sistemas infectados podem ser limpos com uma reinicialização, mas como a verificação de bots em potencial ocorre a uma taxa constante, é possível que eles sejam reinfectados minutos após a reinicialização. Isso significa que os usuários precisam alterar a senha padrão imediatamente após a reinicialização. Ou eles devem evitar que o dispositivo acesse a internet até que possam redefinir o firmware e alterar a senha off-line. A maioria dos proprietários desses dispositivos não tem o know-how nem a motivação para fazê-lo. Provedores O aumento do tráfego em sua rede a partir do dispositivo infectado normalmente não se compara ao tráfego gerado pelo streaming de mídia, portanto, não há muito incentivo para se preocupar. Fabricantes de dispositivos Há pouco incentivo para os fabricantes de dispositivos investirem na segurança de dispositivos de baixo custo. Responsabilizá-los por ataques pode ser uma forma de forçar a mudança, embora isso possa não funcionar em regiões onde a fiscalização não é rigorosa. Ignorar a segurança do dispositivo gera um grande perigo o Mirai, por exemplo, é capaz de desabilitar o software antivírus, o que torna a detecção um desafio. Magnitude Com mais de um bilhão e meio de dispositivos baseados em processadores ARC inundando o mercado a cada ano, o número total de dispositivos que podem ser integrados a botnets poderosas significa que essas variantes de malware tendem a aumentar o possível impacto. Simplicidade Os kits de botnet prontos para uso eliminam a necessidade de conhecimento técnico. Por US$ 14,99 a US$ 19,99, uma botnet pode ser alugada por um mês inteiro. Consulte O que é um DDoS Booter/Stresser? para obter mais detalhes. Padrões Globais de Segurança da IoT Não existe uma entidade global, ou consenso, para definir e fazer cumprir os padrões de segurança da IoT. Embora os patches de segurança estejam disponíveis para alguns dispositivos, os usuários podem não ter a habilidade ou o incentivo para atualizar. Muitos fabricantes de dispositivos de baixo custo não oferecem nenhum tipo de manutenção. Para aqueles que o fazem, muitas vezes não é no longo prazo. Também não há como descomissionar dispositivos quando as atualizações não são mais mantidas, tornando-os indefinidamente inseguros. Aplicação da lei global A dificuldade em rastrear e processar os criadores de botnets dificulta a contenção da proliferação das botnets; Não existe um equivalente global da Interpol Organização Internacional de Polícia Criminal para crimes cibernéticos, com habilidades investigativas correspondentes. A aplicação da lei em todo o mundo geralmente não consegue acompanhar os cibercriminosos quando se trata de tecnologia mais recente. Muitas botnets agora empregam uma técnica de DNS chamada Fast Flux para ocultar os domínios que usam para baixar malware ou hospedar sites de phishing. Isso as torna extremamente difíceis de rastrear e derrubar. A infecção por botnet degrada a performance de dispositivos de IoT? É possível. De vez em quando, os dispositivos infectados podem ter uma performance lenta, mas geralmente funcionam conforme o esperado. Os proprietários não têm grande motivação para encontrar maneiras de eliminar a infecção. Adendo Uma legislação a ser aprovada pelo governador da Califórnia, Jerry Brown, exige que os dispositivos de IoT tenham recursos de segurança razoáveis “adequados à natureza e função do dispositivo”. Ela deveria entrar em vigor em janeiro de 2020. Por que essa legislação é tão importante? É impossível as empresas ignorarem o lucrativo mercado da Califórnia. Se quiserem vender na Califórnia, precisarão melhorar a segurança em seus dispositivos. Isso beneficiará todos os estados. Criado por Josiah White, Paras Jha e Dalton Norman, a botnet Mirai foi inicialmente escrito em C para os bots e Go para os controladores, com o objetivo inicial de derrubar servidores Minecraft rivais usando ataques distribuídos de negação de serviço DDoS. A botnet Mirai logo se espalhou para infectar milhares de dispositivos da Internet das coisas IoT e evoluiu para conduzir ataques completos em grande escala. Depois de notar um aumento nas infecções, Mirai chamou a atenção da organização sem fins lucrativos MalwareMustDie em agosto de 2016, que então começou a pesquisar, analisar e rastrear esta rede. Ataques DDoS prejudiciais O primeiro ataque em grande escala de Mirai foi em setembro de 2016 contra uma empresa de tecnologia francesa, OVH. O ataque de Mirai atingiu um pico sem precedentes de 1Tbps e estima-se que cerca de dispositivos foram usados ​​no ataque. Esse ataque definiu quão massiva a escala dessa botnet se tornou, com o segundo maior ataque atingindo o pico em torno de 400 Gbps. Após o ataque à OVH, Krebs on Security, criado pelo jornalista Brian Krebs, foi inundado com mais de 600 GB de dados no final de setembro de 2016. Krebs foi provavelmente escolhido como alvo devido à sua linha de jornalismo investigativo em crimes cibernéticos e foi visto como uma potencial ameaça aos autores. Em 30 de setembro de 2017, um dos autores da botnet decidiu lançar o código-fonte em um fórum de atacantes popular, ao mesmo tempo em que anunciava sua suposta saída do ramo. Existem vários motivos possíveis pelos quais o autor decidiu descartar e disseminar o código, sendo o mais provável para ofuscar sua identidade e evitar ser acusado pelos crimes cometidos. Logo após o lançamento do código-fonte, outros começaram a usar Mirai para seus próprios fins maliciosos e seus ataques não podiam mais ser vinculados a um único usuário ou grupo como se fazia anteriormente. Além de as atribuições se tornarem mais difíceis de realizar, a liberação do código também permitiu que os agentes de ameaças aumentassem o número de ataques DDoS conduzidos. Desde então, outros autores adicionaram componentes novos e mais destrutivos, como módulos que permitem um aumento no número de infecções ou um que aumenta a velocidade com que infecta uma rede. Além disso, novas variantes do Mirai foram criadas para incluir Okiru, Satori, Masuta e PureMasuta. Essas variantes adicionaram mais funcionalidades, como a capacidade de atacar computadores, bem como dispositivos IoT para aumentar a saída de dados. O sucesso dessa botnet e de suas variantes depende da fraca segurança dos produtos e tecnologia IoT. Dispositivos IoT construídos para conveniência e conectividade, em vez de segurança, complicam os esforços de mitigação para a família de malwares Mirai. Detalhes Técnicos da botnet Mirai Mirai começa como um worm autopropagado T0866, que se replica assim que infecta e localiza outro dispositivo IoT vulnerável. A propagação é realizada por meio do uso de dispositivos IoT infectados para varrer a Internet para encontrar alvos vulneráveis ​​adicionais T0883. Se um dispositivo vulnerável for encontrado, o dispositivo já infectado relatará suas descobertas a um servidor. Uma vez que o servidor tem sua lista desses dispositivos vulneráveis, o servidor carrega uma carga útil payload e infecta os alvos. Botnets, como a Mirai, se concentram em infectar o máximo de dispositivos possível, o que é ainda mais facilitado pela falta de segurança nos dispositivos IoT. Inicialmente, Mirai tenta comprometer esses dispositivos com ataques de força bruta usando 64 conjuntos de nomes de usuário e senhas comuns e padronizadas T0812 como “admin” e “password”; no entanto, os módulos e variantes atuais usam vulnerabilidades atualizadas para maximizar a eficiência. Isso pode ser visto em variantes mais recentes da botnet, como “ encontrada em julho de 2020 e como ele usa CVE-2020-10173 para explorar roteadores Comtrend VR-3033. Ainda mais recentemente, o Alien Labs da AT&T identificou uma variante chamada “Moobot“, aumentando drasticamente suas varreduras de roteadores Tenda que podem ser explorados com uma vulnerabilidade de execução remota de código conhecida T1210, CVE-2020-10987. Esta variante recente também permitiu aos pesquisadores rastrear o malware até seu domínio de hospedagem denominado “Cyberium” e notou que outras variantes do Mirai residem aqui também. A distribuição global desses dispositivos IoT é peculiar, devido ao número desproporcional de dispositivos infectados vindos da América do Sul e da Ásia. Durante o ataque a Krebs, ele conseguiu reunir a localização dos dispositivos de ataque e percebeu uma irregularidade. No número total de dispositivos usados, 31,2% dos dispositivos vieram da América do Sul e 36,8% contando com a Rússia com 4,7% de toda a Ásia. Uma vez infectado e configurado, o dispositivo IoT pode ser controlado a partir de servidores de comando e controle C2 TA0011. Depois de acumular milhares de dispositivos infectados, esses servidores C2 dizem aos dispositivos o que atacar. Os servidores C2 são capazes de utilizar várias técnicas de DDoS T1498, como HTTP, TCP e inundação de UDP O Center for Internet Security CIS e a Cybersecurity and Infrastructure Security Agency CISA recomendam que as organizações sigam as atenuações abaixo para limitar os danos causados ​​por um ataque potencial • Segmente sua rede – certifique-se de que todos os dispositivos IoT estejam em uma rede separada dos sistemas críticos para as operações diárias. • Atualize seus dispositivos IoT – Sempre mantenha os dispositivos IoT atualizados para garantir que haja menos chance de infecção. • Use e mantenha um software antivírus – o software antivírus reconhece e protege seu computador contra a maioria dos vírus conhecidos. É importante manter seu software antivírus atualizado. • Tenha uma política de senha regulamentada – Suas senhas originais podem ter sido comprometidas. Durante uma infecção, portanto, você deve trocá-las o mais rápido possível. • Mantenha os sistemas operacionais e o software de aplicativos atualizados – Instale patches de software para que os invasores não possam tirar proveito das vulnerabilidades conhecidas. Muitos sistemas operacionais oferecem atualizações automáticas. Se esta opção estiver disponível, você deve habilitá-la. • Use ferramentas anti-malware – Usar um programa legítimo que identifica e remove malware pode ajudar a eliminar uma infecção. Fonte Posts relacionados Como o uso de logins e senhas padrão facilitou a criação de uma botnet de dispositivos IoT / Novo malware se esconde entre as exclusões do Windows Defender para evitar detecção e Nova violação de IoT, mesma história de insegurança, amplas consequências

mirai botnet là gì