Jak zabezpečit router proti útokům Mirai Botnet

autor:
Tweet
Share
Share
Pin

Strategií, kterou útočníci se zlými úmysly používají k rozšíření svých kybernetických útoků, je používání botnetů.

Botnet je síť počítačů, které byly infikovány malwarem a jsou vzdáleně řízeny zákeřným aktérem. Takový zlomyslný aktér ovládající skupinu infikovaných počítačů se nazývá pastýř botů. Jednotlivá infikovaná zařízení se označují jako boti.

Pastevci botů velí a kontrolují skupinu infikovaných počítačů, což jim umožňuje provádět kybernetické útoky v mnohem větším měřítku. Botnety byly používány především při rozsáhlém odmítnutí služby, phishingu, spamovacích útocích a krádežích dat.

Příkladem malwaru, který se od té doby proslavil únosem digitálních zařízení za účelem vytvoření velmi rozsáhlých botnetů, je malware Mirai Botnet. Mirai je malware botnetu, který cílí a využívá zranitelná místa v zařízeních internetu věcí (IoT) se systémem Linux.

Po infekci Mirai unese zařízení IoT a promění ho v dálkově ovládaného bota, který lze použít jako součást botnetu ke spuštění masivních kybernetických útoků. Mirai byl napsán pomocí C a GO.

Malware se dostal do popředí zájmu v roce 2016, kdy byl použit v distribuovaném útoku odmítnutí služby (DDOS) na DYN, poskytovatele Domain Name System. Útok zabránil uživatelům internetu v přístupu na stránky jako Airbnb, Amazon, Twitter, Reddit, Paypal a Visa.

Malware Mirai byl také zodpovědný za útoky DDOS na kyberbezpečnostní web Krebs on Security a francouzskou cloudovou společnost OVHCloud.

Jak vznikla Mirai

Malware Mirai napsali Paras Jha a Josiah White, kteří v té době byli studenti ve věku 20 let a také zakladatelé společnosti ProTraf Solutions, která nabízela služby zmírnění DDOS. Mirai Malware byl napsán pomocí programovacích jazyků C a Go.

Zpočátku bylo jejich cílem pro Mirai odstranit konkurenční servery Minecraft pomocí útoků DDOS, aby mohly získat více zákazníků odstraněním konkurence.

Jejich použití pro Mirai se pak přesunulo na vydírání a vydírání. Dvojice zahájí útoky DDOS na společnosti a poté osloví společnosti, na které zaútočily, aby nabídly zmírnění DDOS.

  Vyhledávač textů najde texty a přidá je do vašich souborů MP3

Mirai Botnet upoutal pozornost úřadů a komunity kybernetické bezpečnosti poté, co byl použit k odstranění webové stránky Krebs on Security a jejímu útoku na OVH. Když se Mirai Botnet začal dostávat na titulky, tvůrci unikli zdrojový kód Mirai Botnetu na veřejně přístupném hackerském fóru.

Pravděpodobně šlo o pokus zakrýt stopy a vyhnout se odpovědnosti za útoky DDOS provedené pomocí Mirai Botnet. Zdrojový kód pro Mirai Botnet převzali další kyberzločinci, což vedlo k vytvoření variant Mirai Botnetu, jako je Okiru, Masuta a Satori a PureMasuta.

Tvůrci Mirai Botnetu však byli později zajati FBI. Nebyli však uvězněni a místo toho dostali mírnější tresty, protože spolupracovali s FBI při dopadení dalších kybernetických zločinců a předcházení kybernetickým útokům.

Jak funguje Mirai Botnet

Útok Mirai Botnet zahrnuje následující kroky:

  • Mirai Botnet nejprve prohledá IP adresy na internetu, aby identifikoval zařízení IoT se systémem Linux na procesoru Arc. Poté identifikuje a zaměří se na zařízení, která nejsou chráněna heslem nebo používají výchozí přihlašovací údaje.
  • Jakmile Mirai identifikuje zranitelná zařízení, zkouší různé známé výchozí přihlašovací údaje, aby se pokusil získat síťový přístup k zařízení. Pokud zařízení používá výchozí konfigurace nebo není chráněno heslem, Mirai se přihlásí do zařízení a infikuje ho.
  • Mirai Botnet poté prohledá zařízení, aby zjistil, zda nebylo infikováno jiným malwarem. V případě, že ano, odstraní veškerý další malware, takže se jedná o jediný malware v zařízení, což mu poskytne větší kontrolu nad zařízením.
  • Zařízení infikované Mirai se pak stane součástí Mirai Botnetu a lze jej vzdáleně ovládat z centrálního serveru. Takové zařízení jednoduše čeká na příkazy z centrálního serveru.
  • Infikovaná zařízení se pak použijí k infikování jiných zařízení nebo se používají jako součást botnetu k provádění rozsáhlých útoků DDOS na webové stránky, servery, sítě nebo jiné zdroje dostupné na internetu.

    • Stojí za zmínku, že Mirai Botnet přišel s rozsahy IP, na které nemířil ani neinfikoval. To zahrnuje soukromé sítě a adresy IP přidělené ministerstvu obrany Spojených států a poštovní službě Spojených států.

      7 online kurzů, které potřebujete vědět

    Typy zařízení, na která se Mirai Botnet zaměřuje

    Primárním cílem pro Mirai Botnet jsou zařízení IoT využívající procesory ARC. Podle Parase Jha, jednoho z autorů robota Mirai, byla většina IoT zařízení infikovaných a používaných Mirai Botnetem routery.

    Seznam potenciálních obětí pro Mirai Botnet však zahrnuje další zařízení IoT, která používají procesory ARC.

    To by mohlo zahrnovat zařízení pro chytrou domácnost, jako jsou bezpečnostní kamery, dětské chůvičky, termostaty a chytré televize, nositelná zařízení, jako jsou fitness trackery a hodinky, a lékařská zařízení internetu věcí, jako jsou glukózové monitory a inzulínové pumpy. Obětí botnetu Mirai se mohou stát i průmyslová zařízení IoT a lékařská zařízení IoT využívající procesory ARC.

    Jak zjistit infekci Mirai Botnet

    Mirai Botnet je navržen tak, aby byl při útoku nenápadný, a proto není snadné zjistit, zda je vaše zařízení IoT infikováno Mirai Botnet. Není však snadné je odhalit. Hledejte však následující indikátory, které by mohly signalizovat možnou infekci Mirai Botnet na vašem zařízení IoT:

    • Zpomalené připojení k internetu – botnet Mirai může způsobit zpomalení vašeho internetu, protože se vaše zařízení IoT používají ke spouštění útoků DDOS.
    • Neobvyklý síťový provoz – V případě, že pravidelně monitorujete svou síťovou aktivitu, můžete zaznamenat náhlý nárůst síťového provozu nebo zasílání požadavků na neznámé IP adresy
    • Snížený výkon zařízení – vaše zařízení IoT, které nefunguje optimálně nebo vykazuje neobvyklé chování, jako je samo vypínání nebo restartování, může být indikátorem možné infekce Mirai.
    • Změny v konfiguracích zařízení – Mirai Botnet může změnit nastavení nebo výchozí konfiguraci vašich zařízení IoT, aby bylo v budoucnu snazší zařízení využívat a ovládat. V případě, že si všimnete změn v konfiguracích svých zařízení IoT a nejste za ně odpovědní, může to ukazovat na možnou infekci Mirai Botnet.

    Ačkoli existují známky, na které si můžete dávat pozor, abyste věděli, zda bylo vaše zařízení infikováno, občas si jich nemusíte snadno všimnout, protože Mirai Botnet je vyroben tak, že je velmi obtížné jej odhalit. V důsledku toho je nejlepším způsobem, jak se s tím vypořádat, zabránit tomu, aby Mirai Botnet infikoval vaše zařízení IoT.

      Jak odstranit duplikáty v Tabulkách Google

    Pokud však máte podezření, že bylo detekováno zařízení IoT, odpojte jej od sítě a znovu jej připojte až po odstranění hrozby.

    Jak chránit vaše zařízení před infekcí Mirai Botnet

    Klíčovou strategií Mirai Botnet při infikování zařízení IoT je testování řady dobře známých výchozích konfigurací, aby se zjistilo, zda uživatelé stále používají výchozí konfigurace.

    V takovém případě se Mirai přihlásí a infikuje zařízení. Důležitým krokem k ochraně vašich IoT zařízení před Mirai Botnet je proto vyhnout se používání výchozích uživatelských jmen a hesel.

    Ujistěte se, že jste změnili své přihlašovací údaje a používejte hesla, která nelze snadno uhodnout. Můžete dokonce použít generátor náhodných hesel k získání jedinečných hesel, která nelze uhodnout.

    Dalším krokem, který můžete udělat, je pravidelná aktualizace firmwaru vašeho zařízení a také instalace bezpečnostních záplat při každém jejich vydání. Společnosti často vydávají bezpečnostní záplaty v případě, že jsou v jejich zařízeních objevena zranitelnosti.

    Instalace bezpečnostních záplat při každém jejich vydání vám proto může pomoci udržet si náskok před útočníky. V případě, že má vaše IoT zařízení vzdálený přístup, zvažte také jeho deaktivaci, pokud tuto funkci nepotřebujete.

    Mezi další opatření, která můžete přijmout, patří pravidelné sledování vaší síťové aktivity a segmentace vaší domácí sítě tak, aby zařízení internetu věcí nebyla připojena ke kritickým sítím doma.

    Závěr

    Přestože byli tvůrci Mirai Botnet zadrženi úřady, riziko infekce Mirai Botnet stále přetrvává. Zdrojový kód Mirai Botnet byl uvolněn pro veřejnost a to vedlo k vytvoření smrtících variant Mirai Botnet, které cílí na zařízení IoT a mají nad zařízeními větší kontrolu.

    Při nákupu zařízení IoT by proto měly být klíčové bezpečnostní funkce nabízené výrobcem zařízení. Kupujte IoT zařízení, která mají bezpečnostní funkce, které zabraňují možné infekci malwarem.

    Kromě toho se vyhněte používání výchozích konfigurací ve svých zařízeních a pravidelně aktualizujte firmware zařízení a instalujte všechny nejnovější bezpečnostní záplaty, kdykoli jsou vydány.

    Můžete také prozkoumat nejlepší nástroje EDR pro rychlou detekci a reakci na kybernetické útoky.