Mirai – inte längre bara ett hot inom IoT
Hem KRÖNIKA Mirai – inte längre bara ett hot inom IoT

Mirai – inte längre bara ett hot inom IoT

Publicerat av: Redaktionen

[KRÖNIKA] IT-kriminella som utnyttjar botnät har lärt sig en hel del genom att utveckla skadlig kod där IoT varit i fokus.

Mirai – inte längre bara ett hot inom IoTDe har nu tagit med sig sina lärdomar och bytt fokus till att rikta in sig på Linux-servrar. Precis som är fallet med många IoT-enheter, finns mängder av opatchade Linux-servrar som kan missbrukas i stor skala av kriminella. Arbors research-team, ASERT, har under en tid spanat på dessa attackförsök som utnyttjar sårbarheter kring Hadoop YARN. Spaningen har skett i honeypot-nätverk där vi, för att förstå vad de gör och hur vi kan stoppa det, försöker lura in hackare. Vad vi fann var bland annat ett känt, men i sammanhanget överraskande fenomen – Mirai. Dessa versioner av Mirai beter sig på ett liknade sätt som det ursprungliga Mirai gjorde men med den skillnaden att de är utformade för att köras på Linux-servrar istället för via dåligt skyddade IoT-enheter. ASERT-team har visserligen stött på Mirai för Windows tidigare, men detta är den första gången som vi stött på enicke IoT-fokuserad versionav Mirai ute i verkligheten.

Några av de nya insikter som våra spaningar och analyser resulterade i:

  • Bot-skapare som bygger sina nätverk på Mirai och som riktar in sig på Linux-servrar behöver inte längre skräddarsy sin skadliga kod för olika typer av arkitekturer. De satsar uteslutande på vanliga x86-processorer.
  • IT-kriminella har i viss mån bytt taktik till att själva designa själva attacken. Ett relativt litet antal IT-kriminella använder särskilda verktyg för att utnyttja sårbarheten i Hadoop YARN.
  • Även om Hadoop YARN-servern inte kör telnettjänster, kommer Mirai-boten att försöka knäcka lösenord genom att prioritera förinställda standardlösenord via telnet.
  • Linux-servrar i datacenters har tillgång till större bandbredd än vad IoT-enheter i ett begränsat nätverk har. Det gör dem betydligt mer effektiva för DDoS-attacker. Några få Linuxservrar kan skapa attacker som är lika effektiva som ett mycket större IoT-botnät.

Mirai riktar sig alltså inte längre in enbart på IoT-enheter. Teknikerna för att sprida Mirai till IoT-nätverk och Linux-servrar påminner om varandra, men det är betydligt enklare för hackare att attackera x86-baserade Linux-servrar som är uppbyggda på samma sätt än att attackera ett IoT-enheter som drivs av en mängd olika processorer. Antalet källor som löpande skannar efter sårbarheter i Hadoop YARN är fortfarande relativt litet. Men deras mål är tydligt – att installera skadlig kod på så många enheter som möjligt. När koden väl fått fäste på en Linux-server, sprider sig Mirai mycket likt ett IoT-botnät och börjar gissa sig fram för att knäcka telnet-baserade användarnamn och lösenord. Det som skiljer sig nu är med andra ord att bland de små enheterna i ett traditionellt botnät lurar nu även kraftfulla Linux-servrar.

Av: Matthew Bing, NETSCOUT Arbor

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>