PC-s sereget toboroz a Mirai botnet

​A Mirai botnet néhányszor már igazolta, hogy komoly rendszereket is képes térdre kényszeríteni internetes eszközök felhasználásával. Mostantól pedig már PC-ket is csatasorba állít.
 

A Mirai botnet 2015 végén kezdte próbálgatni a szárnyait. Kezdetben elsősorban azzal hívta fel magára a figyelmet, hogy internetképes, IoT-eszközöket vont be egy kártékony hálózatba. Később pedig azzal, hogy mindezt olyan fokon művelte, ami jelentős fennakadásokat okozott a célkeresztbe állított, sokszor komplex védelemmel ellátott rendszerek, szolgáltatások esetében is. A botnetet felhasználó, intenzívebb DDoS-támadások tavaly nyáron vették kezdetüket, és őszre teljesedtek ki. Akkor már biztossá vált, hogy nem megfelelően védett IP-kamerákkal, DVR-ekkel, routerekkel is jelentős károkozásokat lehet előidézni. A Mirai a Krebs on Security weboldal ellen tavaly szeptemberben egy 620 Gbps sávszélességet felemésztő támadást indított. Október 21-én pedig a Dyn szolgáltatót vette célba, amit olyan szolgáltatások is megéreztek, mint amilyen a GitHub, a Twitter, a Reddit, a Netflix és az Airbnb.
 
Újabb hadsereg toborzása kezdődött
 
A Mirai botnet kiépítésében eddig egy olyan károkozó és annak variánsai játszották a főszerepet, amelyek Linux alapú rendszerekkel kompatibilisek. Ez a vonal napjainkban is él, azonban a Mirai mögött meghúzódó csoport nem elégedett meg az eddigi károkozásokkal. Vélhetőleg ezért született meg a Mirai malware Windows kompatibilis kiadása, amely újabb erőforrások bevonására ad lehetőséget a kiberbűnözők számára.
 
A Windows-os Mirai jelenleg elsősorban telneten keresztül, gyakran használt felhasználónév/jelszó párosokkal próbál hozzáférést szerezni a rendszerekhez. Ekkor a működése alapvetően attól függ, hogy éppen milyen eszközre akad. Amennyiben egy Linux alapú készüléket ostromol, akkor azon különféle parancsokat igyekszik lefuttatni. Ha pedig egy másik Windows-os PC-re sikerül bejutnia, akkor arra különböző állományokat másol fel. Vagyis a Windows kompatibilis Miriai is képes linuxos berendezések megfertőzésére.
 
Az új kártékony program nemcsak a telnettel próbálkozik, hanem egyéb szolgáltatásokkal (portokkal) is:
22 - Telnet
23 - SSH
135 - DCE/RPC
445 - Active Directory
1433 - MSSQL
3306 - MySQL
3389 - RDP
 
A Dr.Web biztonsági cég vizsgálatai szerint a Mirai az adatbázisok esetében azt próbálja elérni, hogy egy-egy új felhasználói fiók jöjjön létre rendszergazdai jogosultságokkal. MySQL szerverek esetében például egy "MySQL" fiókot regisztrál be, amihez a "phpgod" jelszót állítja be.
 
A biztonsági kutatók előtt egyelőre rejtély a Mirai RDP-kapcsolatok esetében megfigyelt viselkedése. A károkozó ugyanis eljut addig, hogy feltérképezi a 3389-es port lehetőségeit, de ha egy RDP-kiszolgálóra akad, akkor nem tesz semmit, csak várakozik. Elképzelhető, hogy ez a funkciója a jövőben kiteljesedik.
 
A Mirai elleni védekezés szempontjából nagyon lényeges a naprakész vírusvédelem megléte a Windows-os rendszereken. Az IoT-eszközökön pedig a legfontosabb a gyári, alapértelmezett jelszavak megváltoztatása, illetve a gyártók által kiadott frissítések telepítése.