Mirai – inte längre bara ett hot inom IoT

[KRÖNIKA] IT-kriminella som utnyttjar botnät har lärt sig en hel del genom att utveckla skadlig kod där IoT varit i fokus.

De har nu tagit med sig sina lärdomar och bytt fokus till att rikta in sig på Linux-servrar. Precis som är fallet med många IoT-enheter, finns mängder av opatchade Linux-servrar som kan missbrukas i stor skala av kriminella. Arbors research-team, ASERT, har under en tid spanat på dessa attackförsök som utnyttjar sårbarheter kring Hadoop YARN. Spaningen har skett i honeypot-nätverk där vi, för att förstå vad de gör och hur vi kan stoppa det, försöker lura in hackare. Vad vi fann var bland annat ett känt, men i sammanhanget överraskande fenomen – Mirai. Dessa versioner av Mirai beter sig på ett liknade sätt som det ursprungliga Mirai gjorde men med den skillnaden att de är utformade för att köras på Linux-servrar istället för via dåligt skyddade IoT-enheter. ASERT-team har visserligen stött på Mirai för Windows tidigare, men detta är den första gången som vi stött på enicke IoT-fokuserad versionav Mirai ute i verkligheten.

Några av de nya insikter som våra spaningar och analyser resulterade i:

  • Bot-skapare som bygger sina nätverk på Mirai och som riktar in sig på Linux-servrar behöver inte längre skräddarsy sin skadliga kod för olika typer av arkitekturer. De satsar uteslutande på vanliga x86-processorer.
  • IT-kriminella har i viss mån bytt taktik till att själva designa själva attacken. Ett relativt litet antal IT-kriminella använder särskilda verktyg för att utnyttja sårbarheten i Hadoop YARN.
  • Även om Hadoop YARN-servern inte kör telnettjänster, kommer Mirai-boten att försöka knäcka lösenord genom att prioritera förinställda standardlösenord via telnet.
  • Linux-servrar i datacenters har tillgång till större bandbredd än vad IoT-enheter i ett begränsat nätverk har. Det gör dem betydligt mer effektiva för DDoS-attacker. Några få Linuxservrar kan skapa attacker som är lika effektiva som ett mycket större IoT-botnät.

Mirai riktar sig alltså inte längre in enbart på IoT-enheter. Teknikerna för att sprida Mirai till IoT-nätverk och Linux-servrar påminner om varandra, men det är betydligt enklare för hackare att attackera x86-baserade Linux-servrar som är uppbyggda på samma sätt än att attackera ett IoT-enheter som drivs av en mängd olika processorer. Antalet källor som löpande skannar efter sårbarheter i Hadoop YARN är fortfarande relativt litet. Men deras mål är tydligt – att installera skadlig kod på så många enheter som möjligt. När koden väl fått fäste på en Linux-server, sprider sig Mirai mycket likt ett IoT-botnät och börjar gissa sig fram för att knäcka telnet-baserade användarnamn och lösenord. Det som skiljer sig nu är med andra ord att bland de små enheterna i ett traditionellt botnät lurar nu även kraftfulla Linux-servrar.

Av: Matthew Bing, NETSCOUT Arbor