Varian Mirai Botnet terus menginfeksi perangkat IoT

Computer Security News

Serangan Gbps DDoS pertama 665 Mirai botnet adalah terhadap situs KrebsOnSecurity pada September tahun 2016. Hanya beberapa hari kemudian, serangan kedua yang memuncak pada hampir 1 Tbps, memukul perusahaan hosting Perancis, OVH. Terlepas dari kenyataan bahwa pengembang Mirai merilis kode sumber segera setelah serangan botnet, itu tidak tetap gratis untuk waktu yang lama.

Pada 2017 Januari, Brian Krebs diidentifikasi Paras Jha sebagai authoring Mirai, dan pada Desember 2017 DoJ unsealed plea-bargained bersalah oleh Paras Jha untuk pengembangan dan penggunaan Mirai. Namun, itu terlalu terlambat untuk menghentikan botnet karena kode sudah dinyatakan dan penjahat lainnya dapat mengembangkan varian Mirai baru.

Peneliti keamanan di Netscout Arbor telah mengamati varian Mirai berikut sejauh: Satori, JenX, OMG, dan jahat.

Mirai botnet menyebar dengan memindai untuk terhubung ke internet IoT perangkat (kamera IP dan rumah router) dan ‘kasar-memaksa’ akses melalui daftar default Penjual password lainnya. Sebagai konsumen biasanya tidak mengubah sandi yang dilengkapi dengan perangkat, proses ini sukses luar biasa.

Satori menggunakan konfigurasi meja yang sama dan string kebingungan teknik yang sama sebagai Mirai. Namun, ASERT tim klaim itu, “Kami melihat penulis perluasan pada Mirai kode sumber untuk memasukkan eksploitasi yang berbeda seperti yang mengeksploitasi Gateway Huawei rumah.” Mengeksploitasi itu CVE-2017-17215.

Kode yang mendasari untuk JenX juga berasal dari Mirai, termasuk meja konfigurasi yang sama dan string kebingungan teknik yang sama. Perbedaannya di sini adalah bahwa kode keras JenX C2 IP alamat sementara Mirai menyimpannya dalam tabel konfigurasi. Selain itu, JenX telah dihapus pemindaian dan eksploitasi fungsi Mirai, sedang ditangani oleh sebuah sistem yang terpisah.

Menurut ASERT, “tampaknya JenX hanya berfokus pada DDoS serangan terhadap pemain dari permainan video Grand Theft Auto San Andreas, yang telah dicatat oleh peneliti lain.”

OMG ini dikenal sebagai salah satu yang paling menarik dari Mirai varian. Sementara ini mencakup semua Mirai fungsionalitas, “penulis diperluas Mirai kode untuk memasukkan ke proxy server.” Hal ini memungkinkan untuk mengaktifkan kaus kaki dan HTTP proxy server pada perangkat IoT terinfeksi.

Jahat adalah varian Mirai terbaru, yang cukup mirip dengan varian Satori 3.

“Jahat perdagangan di Mirai’s credential pemindaian fungsi untuk scanner RCE sendiri. Jahat di RCE scanner target Netgear router dan CCTV DVR perangkat. “ Ketika rentan perangkat ditemukan, “salinan Owari bot adalah download dan dieksekusi.” tim ASERT menjelaskan.

Namun, analisis lebih lanjut menunjukkan bahwa dalam praktek jahat mencoba untuk men-download Owari botnet, tapi benar-benar download Omni botnet.

“Kita pada dasarnya dapat mengkonfirmasi bahwa penulis botnets jahat, Sora, Owari, dan Omni satu dan sama. Hal ini juga membawa kita pada kesimpulan bahwa sementara bot jahat pada mulanya dimaksudkan untuk memberikan Sora botnet, itu kemudian repurposed menjadi penulis berhasil proyek,” ahli Fortinet klaim, sementara varian Mirai terus meningkat.


Leave a Reply

Your email address will not be published. Required fields are marked *