Mirai (złośliwe oprogramowanie) — Mirai (malware)

Mirai
Pierwotny autor (autorzy) Paras Jha, Josiah White i Dalton Norman
Magazyn
Napisane w C (agent), Go (kontroler)
System operacyjny Linux
Rodzaj Botnet
Licencja Powszechna Licencja Publiczna GNU v3.0
Strona internetowa github .com /jgamblin /Mirai-kod źródłowy Edytuj to na Wikidanych

Mirai (po japońsku :未来, dosł. „przyszłość”) to złośliwe oprogramowanie, które zamienia urządzenia sieciowe z systemem Linux w zdalnie sterowane boty, które mogą być wykorzystywane jako część botnetu w atakach sieciowych na dużą skalę. Jest skierowany głównie do urządzeń konsumenckich online, takich jak kamery IP i routery domowe . Botnet Mirai został po raz pierwszy wykryty w sierpniu 2016 r. przez MalwareMustDie , grupę badającą szkodliwe oprogramowanie typu white hat , i został wykorzystany w jednych z największych i najbardziej destrukcyjnych ataków typu rozproszona odmowa usługi (DDoS) , w tym ataku z 20 września 2016 r. na bezpieczeństwo komputerowe strona dziennikarza Briana Krebsa , atak na francuskiego hosta OVH oraz cyberatak Dyn z października 2016 roku . Według dziennika czatu między Anną-senpai i Robertem Coelho, Mirai została nazwana na cześć telewizyjnego serialu anime Mirai Nikki z 2011 roku .

Oprogramowanie było początkowo używane przez twórców do serwerów DDoS Minecraft i firm oferujących ochronę przed atakami DDoS dla tych serwerów, przy czym autorzy używali Mirai do obsługi rakiety ochronnej . Kod źródłowy dla Mirai został następnie opublikowany na Hack fora jako open-source . Od czasu opublikowania kodu źródłowego techniki zostały zaadaptowane w innych projektach złośliwego oprogramowania.

Złośliwe oprogramowanie

Urządzenia zainfekowane przez Mirai nieustannie skanują Internet w poszukiwaniu adresu IP urządzeń Internetu rzeczy (IoT). Mirai zawiera tabelę zakresów adresów IP, których nie zainfekuje, w tym sieci prywatne i adresy przydzielone Poczcie Stanów Zjednoczonych i Departamentowi Obrony .

Następnie Mirai identyfikuje podatne na ataki urządzenia IoT za pomocą tabeli ponad 60 popularnych fabrycznych domyślnych nazw użytkownika i haseł, a następnie loguje się do nich, aby zainfekować je złośliwym oprogramowaniem Mirai. Zainfekowane urządzenia będą nadal działać normalnie, z wyjątkiem sporadycznych spowolnień i zwiększonego wykorzystania przepustowości . Urządzenie pozostaje zainfekowane do momentu ponownego uruchomienia , co może polegać na wyłączeniu urządzenia i ponownym włączeniu po krótkiej chwili. Po ponownym uruchomieniu, o ile hasło logowania nie zostanie natychmiast zmienione, urządzenie zostanie ponownie zainfekowane w ciągu kilku minut. Po infekcji Mirai zidentyfikuje wszelkie „konkurencyjne” złośliwe oprogramowanie, usunie je z pamięci i zablokuje porty zdalnej administracji.

Urządzenia ofiary IoT są identyfikowane przez „najpierw wchodzące w fazę szybkiego skanowania, w której asynchronicznie i „bezstanowo” wysyłały sondy TCP SYN do pseudolosowych adresów IPv4, z wyłączeniem tych znajdujących się na zakodowanej na stałe czarnej liście adresów IP, na portach telnet TCP 23 i 2323”. Jeśli urządzenie IoT zareaguje na sondę, atak wchodzi w fazę logowania brute-force. W tej fazie atakujący próbuje nawiązać połączenie telnet, używając wcześniej określonych par nazwy użytkownika i hasła z listy poświadczeń. Większość tych loginów to domyślne nazwy użytkowników i hasła od dostawcy IoT. Jeśli urządzenie IoT zezwala na dostęp Telnet, adres IP ofiary wraz z pomyślnie użytym poświadczeniem jest wysyłany do serwera zbierającego.

Istnieją setki tysięcy urządzeń IoT, które korzystają z ustawień domyślnych, co czyni je podatnymi na infekcje. Po zainfekowaniu urządzenie będzie monitorować serwer dowodzenia i kontroli, który wskazuje cel ataku. Powodem korzystania z dużej liczby urządzeń IoT jest ominięcie niektórych programów anty-DoS, które monitorują adres IP przychodzących żądań i filtrują lub ustawiają blokadę, jeśli zidentyfikuje nietypowy wzorzec ruchu, na przykład, jeśli zbyt wiele żądań pochodzą z określonego adresu IP. Inne powody to możliwość rozmieszczenia większej przepustowości, niż sprawca może zebrać sam, oraz uniknięcie wyśledzenia.

Mirai jako zagrożenie związane z urządzeniami Internetu rzeczy (IoT) nie zostało powstrzymane po aresztowaniu aktorów. Niektórzy uważają, że inni aktorzy wykorzystują kod źródłowy złośliwego oprogramowania Mirai na GitHubie, aby ewoluować Mirai w nowe warianty . Spekulują, że celem jest rozszerzenie węzła botnetu na znacznie więcej urządzeń IoT. Szczegóły ostatnich postępów w tych wariantach są wymienione w poniższych akapitach.

12 grudnia 2017 r. badacze zidentyfikowali wariant Mirai wykorzystujący lukę zero-day w routerach Huawei HG532 w celu przyspieszenia infekcji botnetami Mirai , implementując dwa znane exploity związane z SOAP w interfejsie internetowym routera: CVE-2014-8361 i CVE-2017-17215. Ta wersja Mirai nazywa się „Satori”.

14 stycznia 2018 r. nowy wariant Mirai nazwany „Okiru” został po raz pierwszy wymierzony w popularne procesory wbudowane, takie jak ARM, MIPS, x86, PowerPC i inne, atakujący urządzenia Linux oparte na procesorach ARC . Procesor Argonaut RISC Core (w skrócie: procesory ARC ) to drugi najpopularniejszy wbudowany 32-bitowy procesor, dostarczany w ponad 1,5 miliarda produktów rocznie, w tym komputery stacjonarne, serwery, radio, kamery, urządzenia mobilne, mierniki mediów, telewizory, lampy błyskowe napędy, motoryzacja, urządzenia sieciowe (smart huby, modemy TV, routery, wifi) oraz Internet of Things. Tylko stosunkowo niewielka liczba urządzeń opartych na ARC działa pod kontrolą systemu Linux i dlatego jest narażona na działanie Mirai.

W dniu 18 stycznia 2018 roku, następca Mirai jest zgłaszane być zaprojektowane porwać kryptowaluta górnicze operacje.

26 stycznia 2018 r. zgłoszono dwa podobne botnety wariantu Mirai, z których bardziej zmodyfikowana wersja wykorzystuje exploit routera EDB 38722 D-Link do pozyskiwania kolejnych podatnych na ataki urządzeń IoT. Luka w protokole Home Network Administration Protocol (HNAP) routera jest wykorzystywana do tworzenia złośliwych zapytań do eksploatowanych routerów, które mogą ominąć uwierzytelnianie, a następnie spowodować zdalne wykonanie dowolnego kodu. Mniej zmodyfikowana wersja Mirai nazywa się „Masuta” (od japońskiej transliteracji „Master”), podczas gdy bardziej zmodyfikowana wersja nazywa się „PureMasuta”.

W marcu 2018 r. pojawił się nowy wariant Mirai, nazwany „OMG”, z dodanymi konfiguracjami, których celem jest atakowanie podatnych urządzeń IoT i przekształcanie ich w serwery proxy. Nowe reguły zapory, które umożliwiają ruch przez wygenerowane porty HTTP i SOCKS, zostały dodane konfiguracje do kodu Mirai. Gdy te porty są otwarte dla ruchu, OMG uruchamia 3proxy – oprogramowanie typu open source dostępne na rosyjskiej stronie internetowej.

Od maja do czerwca 2018 r. pojawił się inny wariant Mirai, nazwany „Wicked”, z dodanymi konfiguracjami, które miały na celu co najmniej trzy dodatkowe exploity, w tym te mające wpływ na routery Netgear i rejestratory CCTV. Wicked skanuje porty 8080, 8443, 80 i 81 i próbuje zlokalizować podatne na ataki, niezałatane urządzenia IoT działające na tych portach. Badacze podejrzewają, że ten sam autor stworzył botnety Wicked, Sora, Owari i Omni.

Na początku lipca 2018 r. zgłoszono, że wykryto co najmniej trzynaście wersji szkodliwego oprogramowania Mirai aktywnie infekującego Internet rzeczy (IoT) w systemie Linux , a trzy z nich zostały zaprojektowane w celu atakowania określonych luk w zabezpieczeniach za pomocą weryfikacji koncepcji exploita, bez uruchamiania brutalnego – wymuszenie ataku na domyślne uwierzytelnianie poświadczeń. W tym samym miesiącu opublikowano raport o kampanii infekcji złośliwym oprogramowaniem Mirai na urządzenia z Androidem za pośrednictwem Android Debug Bridge na TCP/5555, który w rzeczywistości jest opcjonalną funkcją w systemie operacyjnym Android, ale odkryto, że ta funkcja wydaje się być włączona. na niektórych telefonach z Androidem.

Pod koniec 2018 roku wariant Mirai nazwany „Miori” zaczął rozprzestrzeniać się poprzez lukę umożliwiającą zdalne wykonanie kodu w frameworku ThinkPHP, która dotyczyła wersji od 5.0.23 do 5.1.31. Ta luka jest stale nadużywana przez kolejne ewoluujące warianty Mirai, określane jako „Hakai” i „Yowai” w styczniu 2019 r. oraz wariant „SpeakUp” w lutym 2019 r.

Użyj w atakach DDoS

Mirai został wykorzystany wraz z BASHLITE w ataku DDoS w dniu 20 września 2016 r. na witrynę Krebs on Security, która osiągnęła 620 Gbit/s. Ars Technica poinformowała również o ataku 1 Tbit/s na francuskiego hosta internetowego OVH .

W dniu 21 października 2016 roku, wiele poważnych ataków DDoS w DNS usług dostawcy usług DNS Dyn wystąpił użyciu Mirai złośliwe oprogramowanie zainstalowane na dużą liczbę urządzeń Internetu przedmiotów , z których wiele zostało jeszcze wykorzystujących ich domyślnych nazw użytkowników i haseł. Ataki te spowodowały niedostępność kilku głośnych stron internetowych, w tym GitHub , Twitter , Reddit , Netflix , Airbnb i wielu innych. Przypisanie ataku Dyn do botnetu Mirai zostało pierwotnie zgłoszone przez Level 3 Communications.

Później ujawniono, że Mirai został wykorzystany podczas ataków DDoS na Rutgers University w latach 2014-2016, co spowodowało, że wykładowcy i studenci na terenie kampusu przez kilka dni nie mieli dostępu do zewnętrznego Internetu. Dodatkowo awaria Centralnego Serwisu Uwierzytelniania Uczelni spowodowała, że ​​rejestracja przedmiotów i inne usługi były niedostępne w krytycznych momentach semestru akademickiego. Uniwersytet podobno wydał 300 000 USD na konsultacje i zwiększył budżet uniwersytetu na cyberbezpieczeństwo o 1 milion USD w odpowiedzi na te ataki. Uczelnia wymieniła ataki jako jeden z powodów wzrostu czesnego i opłat w roku szkolnym 2015–2016. Osoba pod pseudonimem „exfocus” przyznała się do ataków, stwierdzając w Reddit AMA na subreddicie /r/Rutgers, że użytkownik był uczniem w szkole, a ataki DDoS były motywowane frustracją związaną z uniwersyteckim systemem autobusowym . Ten sam użytkownik twierdził później w wywiadzie dla blogera z New Jersey, że kłamał na temat powiązania z uniwersytetem i że ataki były finansowane przez anonimowego klienta. Badacz bezpieczeństwa Brian Krebs twierdził później, że użytkownik rzeczywiście był studentem Rutgers University i że ten ostatni wywiad został przeprowadzony w celu odwrócenia uwagi śledczych.

Pracownicy Deep Learning Security zaobserwowali stały wzrost liczby botnetów Mirai przed i po ataku z 21 października.

Mirai został również wykorzystany w ataku na infrastrukturę internetową Liberii w listopadzie 2016 r. Według eksperta ds. bezpieczeństwa komputerowego Kevina Beaumonta, wydaje się, że atak został zainicjowany przez aktora, który zaatakował również Dyn.

Inne godne uwagi incydenty

Pod koniec listopada 2016 roku, około 900.000 routery , z Deutsche Telekom i wyprodukowany przez Arcadyan zostały rozbił się z powodu nieudanych prób TR-064 eksploatacyjnych przez wariantu Mirai, co spowodowało problemy z łącznością Internet dla użytkowników tych urządzeń. Podczas gdy TalkTalk później łatał swoje routery, w routerach TalkTalk odkryto nowy wariant Mirai.

Według BBC Brytyjczyk podejrzany o udział w ataku został aresztowany na lotnisku Luton .

Tożsamość autora

17 stycznia 2017 r. dziennikarz zajmujący się bezpieczeństwem komputerowym Brian Krebs opublikował artykuł na swoim blogu Krebs on Security, w którym ujawnił nazwisko osoby, która, jak sądził, jest autorem szkodliwego oprogramowania. Krebs stwierdził, że prawdopodobną prawdziwą tożsamością Anny-senpai (nazwanej na cześć Anny Nishikinomiyi, postaci z Shimonety ), autorki Mirai, był Paras Jha, właściciel firmy ProTraf Solutions zajmującej się łagodzeniem ataków DDoS i student Rutgers. Uniwersytet . W aktualizacji oryginalnego artykułu Paras Jha odpowiedział Krebsowi i zaprzeczył, jakoby napisał Mirai. FBI zostało zgłoszone w wątpliwość WSiSW w sprawie jego udziału w październiku 2016 dyn cyberatakiem . 13 grudnia 2017 r. Paras Jha, Josiah White i Dalton Norman przyznali się do popełnienia przestępstw związanych z botnetem Mirai.

29-letni Daniel Kaye, znany również jako „BestBuy”, „Popopret” lub „Spiderman”, został oskarżony o „wykorzystywanie zainfekowanej sieci komputerów znanej jako botnet Mirai do atakowania i szantażowania Lloyds Banking Group i banków Barclays ”. do krajowego organu ochrony konkurencji. Według tego samego raportu został poddany ekstradycji z Niemiec do Wielkiej Brytanii. Kaye przyznała się również do winy w sądzie za przejęcie ponad 900 000 routerów z sieci Deutsche Telekom.

Naukowcy wskazują na nazwę uchwytu „Nexus Zeta” jako odpowiedzialną za autora nowych wariantów Mirai (nazywanych Okiru, Satori, Masuta i PureMasuta) 21 sierpnia 2018 r. wielkie jury oskarżyło 20-letniego Kennetha Currina Schuchmana, znanego również jako Nexus. Zeta, świadomego spowodowania transmisji programu, informacji, kodu i poleceń, a w wyniku takiego zachowania umyślnego spowodowania szkód bez upoważnienia chronionym komputerom, zgodnie z aktem oskarżenia złożonym w amerykańskim sądzie okręgowym w Anchorage , po którym nastąpiło aresztowanie i proces podejrzanego.

W kulturze popularnej

Album „ Four Pieces for Mirai ” amerykańskiego muzyka elektronicznego i kompozytora Jamesa Ferraro z 2018 roku nawiązuje do Mirai w swojej toczącej się narracji.

Zobacz też

Bibliografia