Mirai botnet ble først oppdaget i 2016, og overtok et enestående antall enheter og fikk enorm skade på internett. Nå er det tilbake og farligere enn noensinne.
Den nye og forbedrede Mirai infiserer flere enheter
18. mars 2019 kom sikkerhetsforskere ved Palo Alto Networks avduket at Mirai er blitt tweaked og oppdatert for å oppnå det samme målet i større skala. Forskerne fant at Mirai brukte 11 nye eksportvarer (samlet til 27), og en ny liste over standard administratorlegitimasjon for å prøve. Noen av endringene retter seg mot maskinvare for virksomheten, inkludert LG Supersign TV-er og WePresent WiPG-1000 trådløse presentasjonssystemer.
Mirai kan være enda sterkere hvis det kan ta over virksomhetsmaskinvare og kommandere forretningsnettverk. Som Ruchna Nigam, senior trusselforsker med Palo Alto Networks, sier det :
Disse nye funksjonene gir botnet et stort angrepsoverflate. Spesielt gir målretting av bedriftskoblinger også tilgang til større båndbredde, og til slutt resulterer det i større ildkraft for botnet for DDoS-angrep.
Denne varianten av Miria fortsetter å angripe forbrukerrutere, kameraer og andre nettverkstilkoblede enheter. Av destruktive formål, jo flere enheter smittet, jo bedre. Litt ironisk nok var den ondsinnede nyttelasten vert på et nettsted som promoterte en virksomhet som handlet om "elektronisk sikkerhet, integrering og alarmovervåking."
Mirai er et botnet som angriper IOT-enheter
Hvis du ikke husker det, så Mirai botnet i 2016 ut til å være overalt. Den målrettet mot rutere, DVR-systemer, IP-kameraer og mer. Disse kalles ofte Internet of Things (IoT) -enheter og inkluderer enkle enheter som termostater som koble til internettet . Botnets fungerer etter infisere grupper av datamaskiner og andre Internett-tilkoblede enheter og deretter tvinge de infiserte maskinene til å angripe systemer eller jobbe med andre mål på en koordinert måte.
Mirai gikk etter enheter med standard administratorlegitimasjon, enten fordi ingen endret dem eller fordi produsenten hardkodet dem. Botnet tok over et stort antall enheter. Selv om de fleste systemene ikke var veldig kraftige, kunne det store antallet som jobbet fungere sammen for å oppnå mer enn en kraftig zombie-datamaskin kunne gjøre alene.
Mirai overtok nesten 500 000 enheter. Ved å bruke dette grupperte botnet av IoT-enheter, lammet Mirai tjenester som Xbox Live og Spotify og nettsteder som BBC og Github ved å målrette DNS-leverandører direkte. Med så mange infiserte maskiner ble Dyn (en DNS-leverandør) tatt ned av en DDOS-angrep som så 1,1 terabyte trafikk. Et DDOS-angrep fungerer ved å oversvømme et mål med en enorm mengde internettrafikk, mer enn målet kan takle. Dette vil bringe offerets nettsted eller tjeneste til en gjennomgang eller tvinge den helt fra internett.
De opprinnelige skaperne av Mirai botnet-programvaren var arrestert, erkjent straffskyld og gitt vilkår for prøvetid . En stund ble Mirai stengt. Men nok av koden overlevde til at andre dårlige skuespillere kunne overta Mirai og endre den for å passe deres behov. Nå er det en annen variant av Mirai der ute.
I SLEKT: Hva er et Botnet?
Hvordan beskytte deg mot Mirai
Mirai, som andre botnett, bruker kjente utnyttelser for å angripe enheter og kompromittere dem. Det prøver også å bruke kjent standard påloggingsinformasjon for å jobbe inn i enheten og ta den over. Så de tre beste beskyttelseslinjene dine er rett frem.
Bestandig oppdater fastvaren (og programvare) av alt du har hjemme eller på arbeidsplassen din som kan koble til internett. Hacking er et katt- og musespill, og når en forsker oppdager en ny utnyttelse, følger oppdateringer for å rette opp problemet. Botnett som dette trives på ikke-oppdaterte enheter, og denne Mirai-varianten er ikke annerledes. Bedriftene som var målrettet mot maskinvaren ble identifisert i september og i 2017.
I SLEKT: Hva er fastvare eller mikrokode, og hvordan kan jeg oppdatere maskinvaren min?
Endre enhetens administratorlegitimasjon (brukernavn og passord) så snart som mulig. For rutere kan du gjøre dette i ruterenes nettgrensesnitt eller mobilapp (hvis den har en). For andre enheter du logger på med standard brukernavn eller passord, se enhetens håndbok.
Hvis du kan logge på ved hjelp av admin, passord eller et tomt felt, må du endre dette. Husk å endre standard legitimasjon når du setter opp en ny enhet. Hvis du allerede har satt opp enheter og forsømt å endre passordet, gjør du det nå. Denne nye varianten av Mirai retter seg mot nye kombinasjoner av standard brukernavn og passord.
Hvis enhetsprodusenten sluttet å gi ut nye firmwareoppdateringer, eller den har hardkodet administratorlegitimasjonen, og du ikke kan endre dem, bør du vurdere å erstatte enheten.
Den beste måten å sjekke er å starte på produsentens nettsted. Finn supportsiden for enheten din og se etter eventuelle merknader angående firmwareoppdateringer. Sjekk når den siste ble utgitt. Hvis det er år siden en firmwareoppdatering, støtter produsenten sannsynligvis ikke enheten lenger.
Du finner instruksjoner om hvordan du endrer administratorlegitimasjonen på enhetsprodusentens støttenettsted. Hvis du ikke finner nylige firmwareoppdateringer eller en metode for å endre enhetens passord, er det sannsynligvis på tide å bytte ut enheten. Du vil ikke la noe permanent sårbart være koblet til nettverket ditt.
Det kan virke drastisk å bytte ut enhetene dine, men hvis de er sårbare, er det det beste alternativet. Botnett som Mirai forsvinner ikke. Du må beskytte enhetene dine. Ved å beskytte dine egne enheter beskytter du resten av internett.
