PC-s sereget toboroz a Mirai botnet

​A Mirai botnet néhányszor már igazolta, hogy komoly rendszereket is képes térdre kényszeríteni internetes eszközök felhasználásával. Mostantól pedig már PC-ket is csatasorba állít.
 
hirdetés
A Mirai botnet 2015 végén kezdte próbálgatni a szárnyait. Kezdetben elsősorban azzal hívta fel magára a figyelmet, hogy internetképes, IoT-eszközöket vont be egy kártékony hálózatba. Később pedig azzal, hogy mindezt olyan fokon művelte, ami jelentős fennakadásokat okozott a célkeresztbe állított, sokszor komplex védelemmel ellátott rendszerek, szolgáltatások esetében is. A botnetet felhasználó, intenzívebb DDoS-támadások tavaly nyáron vették kezdetüket, és őszre teljesedtek ki. Akkor már biztossá vált, hogy nem megfelelően védett IP-kamerákkal, DVR-ekkel, routerekkel is jelentős károkozásokat lehet előidézni. A Mirai a Krebs on Security weboldal ellen tavaly szeptemberben egy 620 Gbps sávszélességet felemésztő támadást indított. Október 21-én pedig a Dyn szolgáltatót vette célba, amit olyan szolgáltatások is megéreztek, mint amilyen a GitHub, a Twitter, a Reddit, a Netflix és az Airbnb.
 
Újabb hadsereg toborzása kezdődött
 
A Mirai botnet kiépítésében eddig egy olyan károkozó és annak variánsai játszották a főszerepet, amelyek Linux alapú rendszerekkel kompatibilisek. Ez a vonal napjainkban is él, azonban a Mirai mögött meghúzódó csoport nem elégedett meg az eddigi károkozásokkal. Vélhetőleg ezért született meg a Mirai malware Windows kompatibilis kiadása, amely újabb erőforrások bevonására ad lehetőséget a kiberbűnözők számára.
 
A Windows-os Mirai jelenleg elsősorban telneten keresztül, gyakran használt felhasználónév/jelszó párosokkal próbál hozzáférést szerezni a rendszerekhez. Ekkor a működése alapvetően attól függ, hogy éppen milyen eszközre akad. Amennyiben egy Linux alapú készüléket ostromol, akkor azon különféle parancsokat igyekszik lefuttatni. Ha pedig egy másik Windows-os PC-re sikerül bejutnia, akkor arra különböző állományokat másol fel. Vagyis a Windows kompatibilis Miriai is képes linuxos berendezések megfertőzésére.
 
Az új kártékony program nemcsak a telnettel próbálkozik, hanem egyéb szolgáltatásokkal (portokkal) is:
22 - Telnet
23 - SSH
135 - DCE/RPC
445 - Active Directory
1433 - MSSQL
3306 - MySQL
3389 - RDP
 
A Dr.Web biztonsági cég vizsgálatai szerint a Mirai az adatbázisok esetében azt próbálja elérni, hogy egy-egy új felhasználói fiók jöjjön létre rendszergazdai jogosultságokkal. MySQL szerverek esetében például egy "MySQL" fiókot regisztrál be, amihez a "phpgod" jelszót állítja be.
 
A biztonsági kutatók előtt egyelőre rejtély a Mirai RDP-kapcsolatok esetében megfigyelt viselkedése. A károkozó ugyanis eljut addig, hogy feltérképezi a 3389-es port lehetőségeit, de ha egy RDP-kiszolgálóra akad, akkor nem tesz semmit, csak várakozik. Elképzelhető, hogy ez a funkciója a jövőben kiteljesedik.
 
A Mirai elleni védekezés szempontjából nagyon lényeges a naprakész vírusvédelem megléte a Windows-os rendszereken. Az IoT-eszközökön pedig a legfontosabb a gyári, alapértelmezett jelszavak megváltoztatása, illetve a gyártók által kiadott frissítések telepítése.
Vélemények
 
  1. 4

    A Cisco magas és kritikus veszélyességi besorolású sebezhetőségeket szüntetett meg az IOS/IOS XE esetében.

  2. 3

    A Samba egy biztonsági frissítéssel gyarapodott.

  3. 1

    Az Actoin trójai hátsó kapuk kiépítésében segíti a támadókat, akiknek minden parancsát teljesíti.

 
Partnerhírek
Vault 7: Semmi sincs biztonságban?

A Wikileaks megszellőztette CIA dokumentumok azt támasszák alá, amit a biztonsági szakemberek régóta gyanítottak: a titkosszolgálatok saját kibertámadási eszközöket fejlesztenek, hogy céljaikat elérhessék.

Hiba vagy beépített funkció?

Beépített parancssorok segítségével a helyi adminisztrátor átveheti az ellenőrzést egy másik felhasználó Windows fiókja felett, úgy, hogy még a jelszavát sem kell tudnia. ​A Microsoft álláspontja szerint ez nem biztonsági hiba.

hirdetés
Közösség
1