Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Опубликован подробный анализ активности ботнета Mirai

Опубликован подробный анализ активности ботнета Mirai

Опубликован подробный анализ активности ботнета Mirai


23.12.2016



За последние несколько месяцев появилось немало сообщений о DDoS-атаках, в которых был задействован ботнет Mirai. К примеру, в октябре мощной DDoS-атаке подверглась инфраструктура Managed DNS крупного DNS-провайдера Dyn, а в ноябре новый вариант Mirai отключил доступ к интернету порядка 900 тыс. клиентам немецкой телекоммуникационной компании Deutsche Telekom. Mirai представляет собой отличный инструмент для наживы и многие пользователи хакерских форумов даже готовы заплатить деньги за уроки по использованию ботнета.

Эксперты компании "Лаборатория Касперского" провели исследование активности ботнета Mirai с целью выяснить его устройство и разобраться, какие задачи преследуют владельцы бот-сети.

 Как показал анализ исходного кода ботнета, опубликованного на одном из форумов, Mirai состоит из ряда компонентов: управляющего сервера, содержащего MySQL-базу всех зараженных IoT-устойств (ботов); компонент приема результата сканирования (Scan Receiver), отвечающего за сбор результатов работы ботов и перенаправление данных компоненту загрузки бота на уязвимые устройства; компонента загрузки, осуществляющего доставку бинарного файла бота на уязвимое устройство; бота, который после запуска на инфицированном устройстве осуществляет подключение к C&C-серверу, сканирует диапазон IP-адресов (SYN-сканирование) на наличие уязвимых IoT-устройств и отправляет результаты  компоненту Scan Receiver.

При попытках подключения к целевому устройству Mirai использует список логинов и паролей. Как отмечают эксперты, в настоящее время список значительно расширился за счет добавления логинов и паролей "по умолчанию" от различных IoT-устройств, что свидетельствует о модификации данного бота.

 Для оценки текущей активности ботнета исследователи ЛК установили сервер с открытым telnet-портом. Первая попытка подключения к telnet-порту со стороны различных хостов была зафиксирована спустя всего три минуты после активации сервера в Сети. Специалисты привели два факта, указывающих, что попытки подключения осуществляются со стороны ботов оригинального Mirai или его модификаций. Во-первых, учетные записи, использованные ботами при попытках подключения, входят в перечень оригинального ботнета. Во-вторых, в большинстве случаев источниками подключения являлись инфицированные IoT-устройства (камеры, маршрутизаторы различных торговых марок).

 Как поясняют эксперты, комбинации логин/пароль позволяют получить представление о том, какие устройства интересны ботнету. К примеру, пары "root:xc3511" "root:vizxv" являются учетными записями по умолчанию для IP-камер крупных китайских производителей.

 По состоянию на 3 декабря 2016 года специалисты ЛК отмечают снижение активности ботнета, но, по их словам, делать какие-либо выводы пока рано.

Securitylab

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"