Вредонос эксплуатирует свыше двадцати известных уязвимостей в различных сетевых устройствах.
Ботнет Mirai, который использует уязвимости в сетевых устройствах для проведения масштабных DDoS-атак, получил новую модификацию. Эксперты из компании Palo Alto Networks обнаружили две кампании, направленные на заражение различных устройств от D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear и MediaTek.
Ботнет Mirai — это вредоносное программное обеспечение, которое превращает рядовые сетевые устройства в удалённо управляемые «зомби». Эта сеть, называемая ботнетом, часто используется для проведения DDoS-атак (распределенный отказ в обслуживании), при которых целевой сайт или сервер перегружается большим количеством запросов и становится недоступным.
Ботнет Mirai был впервые обнаружен в августе 2016 года группой исследователей MalwareMustDie и с тех пор использовался в некоторых из самых мощных и разрушительных DDoS-атаках, включая атаку на сайт журналиста по кибербезопасности Брайана Кребса, французского хостинг-провайдера OVH и компанию Dyn, занимающуюся регистрацией доменных имен.
В новом отчёте эксперты Unit 42 предупреждают, что разработчики ботнета продолжают добавлять код для эксплуатации уязвимостей в различных подключенных продуктах, таких как роутеры, DVR-устройства (цифровые видеорегистраторы), NVR-устройства (сетевые видеорегистраторы), WiFi-адаптеры, термальные мониторы, системы контроля доступа и солнечные панели.
Ниже приведен полный список уязвимостей и продуктов, на которые нацелено вредоносное ПО в последней версии:
Таблица эксплуатируемых уязвимостей
Атака начинается с того, что ботнет использует одну из упомянутых выше уязвимостей, создавая условия для выполнения оболочки скрипта из внешнего ресурса. Этот скрипт загружает клиент ботнета, соответствующий архитектуре зараженного устройства. Ботнет поддерживает 13 различных архитектур: armv4l, arm5l, arm6l, arm7l, mips, mipsel, sh4, x86_64, i686, i586, arc, m68k и sparc.
После выполнения клиента ботнета скрипт-загрузчик удаляет файл клиента, чтобы стереть следы заражения и снизить вероятность обнаружения. По сравнению со стандартными вариациями Mirai, этот напрямую обращается к зашифрованным строкам в секции «.rodata» через индекс вместо того, чтобы настраивать таблицу строк для получения конфигурации клиента ботнета. Этот подход обходит инициализацию зашифрованной таблицы строк, придавая вредоносному ПО скорость и скрытность и делая его менее подверженным обнаружению средствами безопасности.
Эксперты также отмечают, что этот вариант Mirai не имеет возможности подбирать логины и пароли для входа в telnet/SSH, поэтому его распространение полностью зависит от ручной эксплуатации уязвимостей.
Для снижения риска заражения рекомендуется устанавливать последние обновления прошивки, доступные от производителя устройства, менять пароли доступа с заводских на уникальные и сильные, а также отключать удалённый доступ к панели администратора из Интернета, если он не нужен.
Признаками заражения ботнетом могут быть чрезмерный нагрев устройства, изменение настроек/конфигурации, частые отключения и общее снижение производительности.
Собираем и анализируем опыт профессионалов ИБ