etechblog

Jak zabezpečit router proti útokům Mirai Botnet

Photo of author

By etechblogcz

Jednou z metod, kterou kybernetičtí útočníci s nekalými úmysly využívají k rozšiřování svých škodlivých aktivit, je vytváření a nasazování botnetů.

Botnet představuje síť počítačů nakažených škodlivým softwarem, které jsou následně dálkově ovládány agresorem. Osoba, která kontroluje takovouto skupinu infikovaných počítačů, je známa jako „pastevec botů“. Jednotlivá infikovaná zařízení se pak nazývají „boti”.

Pastevci botů mají schopnost řídit a ovládat celou skupinu nakažených počítačů, což jim umožňuje provádět kybernetické útoky v masivním rozsahu. Botnety se nejčastěji používají k rozsáhlým útokům typu DoS, phishingovým kampaním, rozesílání spamu a krádežím citlivých dat.

Příkladem malwaru, který se nechvalně proslavil zneužíváním digitálních zařízení pro tvorbu rozsáhlých botnetů, je malware Mirai. Mirai je botnetový malware, který cílí a zneužívá zranitelnosti v zařízeních internetu věcí (IoT) s operačním systémem Linux.

Po úspěšné infekci Mirai převezme kontrolu nad IoT zařízením a promění ho v dálkově ovládaného bota, který lze použít v rámci botnetu pro zahajování mohutných kybernetických útoků. Mirai byl naprogramován v jazycích C a GO.

Malware se dostal do popředí zájmu v roce 2016, kdy byl použit při rozsáhlém útoku typu DDoS na DYN, poskytovatele služeb DNS. Tento útok zabránil uživatelům internetu v přístupu na oblíbené webové stránky jako Airbnb, Amazon, Twitter, Reddit, Paypal a Visa.

Malware Mirai byl také zodpovědný za útoky DDoS na webové stránky specializované na kybernetickou bezpečnost, Krebs on Security, a na francouzskou cloudovou společnost OVHCloud.

Jak vznikl Mirai

Autory malwaru Mirai byli Paras Jha a Josiah White, kteří v té době studovali a zároveň byli zakladateli společnosti ProTraf Solutions, jež nabízela služby pro zmírnění DDoS útoků. Mirai byl vytvořen pomocí programovacích jazyků C a Go.

Původním účelem Mirai bylo vyřazování konkurenčních serverů Minecraft pomocí útoků DDoS, s cílem získat více zákazníků odstraněním konkurence.

Později začali Mirai používat pro vydírání a šikanu. Zahajovali DDoS útoky na společnosti a následně je kontaktovali s nabídkou služeb pro zmírnění těchto útoků.

Botnet Mirai si získal pozornost úřadů a odborníků na kybernetickou bezpečnost poté, co byl použit k vyřazení webu Krebs on Security a útoku na OVH. Po medializaci případu tvůrci zveřejnili zdrojový kód Mirai na veřejně dostupném hackerském fóru.

Pravděpodobně se jednalo o pokus o zamaskování stop a vyhnuti se odpovědnosti za DDoS útoky spáchané prostřednictvím Mirai. Zdrojový kód Mirai si osvojili další kyberzločinci, což vedlo ke vzniku variant Mirai, jako jsou Okiru, Masuta, Satori a PureMasuta.

Nicméně, tvůrci Mirai byli později zadrženi FBI. Nebyli však uvězněni, ale dostali mírnější tresty, protože spolupracovali s FBI při dopadení dalších kybernetických zločinců a prevenci budoucích kybernetických útoků.

Jak funguje Mirai Botnet

Útok Mirai Botnetu probíhá v několika fázích:

  1. Mirai nejprve skenuje IP adresy na internetu a vyhledává zařízení IoT s Linuxem na procesoru Arc. Poté identifikuje a cílí na zařízení, která nejsou chráněna heslem nebo používají výchozí přihlašovací údaje.
  2. Když Mirai objeví zranitelná zařízení, zkouší různé známé výchozí přihlašovací údaje, aby se pokusil získat přístup do sítě zařízení. Pokud je zařízení nastaveno na výchozí konfiguraci nebo není chráněno heslem, Mirai se do něj přihlásí a nakazí ho.
  3. Následně Mirai zkontroluje zařízení, jestli už není infikováno jiným malwarem. Pokud ano, odstraní ho, aby se stal jediným malwarem v zařízení a získal nad ním plnou kontrolu.
  4. Zařízení infikované Miraem se stane součástí botnetu a je dálkově ovládané z centrálního serveru. Takové zařízení pak čeká na instrukce z tohoto serveru.
  5. Nakonec se infikovaná zařízení používají k nakažení dalších zařízení, nebo se stanou součástí botnetu pro provedení rozsáhlých DDoS útoků na webové stránky, servery, sítě a další internetové zdroje.

Je důležité zmínit, že Mirai má seznam IP adres, na které se nezaměřuje a nenapadá je. Patří mezi ně soukromé sítě a IP adresy přidělené Ministerstvu obrany USA a poštovní službě USA.

Typy zařízení, na která se Mirai Botnet zaměřuje

Hlavním cílem Mirai Botnetu jsou zařízení IoT využívající procesory ARC. Podle jednoho z autorů Mirai, Parase Jha, byla většina zařízení IoT infikovaných a využívaných Miraem směrovače.

Seznam potenciálních obětí Mirai však zahrnuje i další zařízení IoT používající procesory ARC.

Mezi ně mohou patřit zařízení pro chytrou domácnost, jako jsou bezpečnostní kamery, dětské chůvičky, termostaty a chytré televize, nositelná zařízení, jako jsou fitness trackery a hodinky, a lékařská zařízení internetu věcí, například glukózové monitory a inzulínové pumpy. Obětí Mirai se mohou stát i průmyslová zařízení IoT a zdravotnická zařízení IoT využívající procesory ARC.

Jak zjistit infekci Mirai Botnet

Mirai Botnet je navržen tak, aby při útoku zůstal nenápadný, proto nemusí být snadné zjistit, zda je vaše zařízení IoT infikováno. Nicméně, existují některé indikátory, na které si můžete dát pozor:

  • Zpomalené připojení k internetu – botnet Mirai může zpomalit váš internet, protože vaše zařízení IoT jsou využívána k DDoS útokům.
  • Neobvyklý síťový provoz – pokud pravidelně monitorujete síťovou aktivitu, můžete si všimnout náhlého nárůstu provozu nebo odesílání požadavků na neznámé IP adresy.
  • Snížený výkon zařízení – pokud vaše zařízení IoT nefunguje optimálně nebo se chová neobvykle, například se samo vypíná nebo restartuje, může to indikovat infekci Mirai.
  • Změny v konfiguraci zařízení – Mirai Botnet může změnit nastavení nebo výchozí konfiguraci vašich zařízení IoT, aby je bylo možné snáze využívat a ovládat. Pokud si všimnete nečekaných změn, může to naznačovat infekci.

Přestože existují známky, na které si můžete dávat pozor, někdy je těžké je odhalit, protože Mirai se snaží zůstat skrytý. Nejlepší prevencí je tedy zabránit infekci Mirai.

Pokud máte podezření, že je vaše zařízení infikováno, odpojte ho od sítě a znovu ho připojte až po odstranění hrozby.

Jak chránit zařízení před infekcí Mirai Botnet

Klíčovou taktikou Mirai při infekci zařízení IoT je zkoušení dobře známých výchozích konfigurací. Pokud uživatelé stále používají tyto výchozí nastavení, Mirai se přihlásí a nakazí zařízení. Proto je důležité nepoužívat výchozí uživatelská jména a hesla.

Ujistěte se, že jste změnili přihlašovací údaje a používáte silná, těžko uhodnutelná hesla. Můžete použít i generátor náhodných hesel pro tvorbu unikátních hesel.

Dalším krokem je pravidelná aktualizace firmwaru zařízení a instalace bezpečnostních záplat. Společnosti často vydávají záplaty, když jsou v jejich zařízeních objeveny zranitelnosti. Jejich instalace vám pomůže předejít útokům. Pokud vaše zařízení IoT má možnost vzdáleného přístupu, zvažte jeho deaktivaci, pokud ho nepotřebujete.

Dalšími opatřeními je pravidelné sledování síťové aktivity a segmentace domácí sítě, aby zařízení internetu věcí nebyla připojena ke kritickým sítím.

Závěr

I když byli tvůrci Mirai zadrženi, riziko infekce stále existuje. Zdrojový kód Mirai byl uvolněn a to vedlo ke vzniku nebezpečných variant, které cílí na zařízení IoT a mají nad nimi ještě větší kontrolu.

Při nákupu IoT zařízení byste měli dbát na bezpečnostní funkce nabízené výrobcem. Kupujte zařízení, která mají bezpečnostní prvky proti malwaru.

Kromě toho nepoužívejte výchozí konfigurace a pravidelně aktualizujte firmware zařízení a instalujte bezpečnostní záplaty.

Můžete se také informovat o nástrojích EDR pro rychlou detekci a reakci na kybernetické útoky.

Tweet
Share
Share
Pin

Jak vytvářet n-tice v Pythonu a proč je používat?

7 nejlepších hostingových služeb Craftopia pro hraní bez zpoždění