Mirai no es el mayor gusano de la IO más, como una batalla se está formando entre los restos de la infame botnet y un Hajime familia emergente conocido como.
Inicialmente descubierto en octubre 2016, Hajime utiliza dispositivos no garantizados con puertos abiertos Telnet y contraseñas por defecto, al igual que lo hizo Mirai. Curiosamente, la nueva familia emplea las mismas combinaciones de usuario y contraseña utilizados por Mirai, más dos. Sin embargo, similitudes con Mirai terminan aquí.
¿Cómo similar es Hajime a Mirai? Hajime IO Gusano Descripción técnica general
La primera gran diferencia es que Hajime se basa en una red peer-to-peer, mientras que Mirai utiliza direcciones codificadas para el C&Servidor C. En lugar de una C&dirección del servidor C, Hajime empuja módulos de comandos a la red p2p. Como resultado, el mensaje se propaga gradualmente a todos los compañeros. Los investigadores creen que este diseño es más fuerte que el utilizado por Mirai ya que es más difícil de hacerla caer.
Relacionado: Las herramientas necesarias para mejorar la seguridad de los dispositivos IO
El nuevo gusano de la IO también tiene capacidades sigilosos, y es más avanzado que su predecesor. Después de la infección inicial, la amenaza podría tomar varias medidas para ocultar sus procesos en ejecución, así como sus archivos en el sistema de archivos. Además, el operador del gusano puede abrir un shell script a cualquier dispositivo infectado en la red en cualquier momento. Los investigadores dicen que su código es significado modular que nuevas capacidades se pueden añadir en cualquier lugar. Todo esto significa que sus codificadores se tomaron su tiempo para hacer Hajime una amenaza IO sigiloso y persistente.
Hajime Distribución
Symantec ha informado de que el gusano se ha extendido muy rápidamente durante los últimos meses. La compañía de seguridad ha detectado infecciones a nivel mundial, los niveles más altos registrados en Brasil e Irán.
No hay DDoS Características
Hajime no tiene capacidades de DDoS en cualquier código de atacar, el código de propagación excluido. El gusano obtiene una declaración de su controlador y lo muestra en el terminal de aproximadamente cada 10 acta, Symantec explica. Este es el mensaje actual:
Sólo un sombrero blanco, asegurar algunos sistemas.
Los mensajes importantes se firmarán como esto!
Hajime Autor.
Contacto CERRADO
Estar atento!
Este mensaje está firmado criptográficamente. Hajime sólo acepta mensajes firmados por una llave codificada, lo que no hay duda de que el texto está escrito por el autor. Sin embargo, los investigadores se preguntan si el autor del Hajime es un verdadero sombrero blanco como sus intenciones pueden cambiar rápidamente y podrían convertir los dispositivos infectados en una red de bots masiva.
No obstante, Los investigadores de Symantec aún dudan del origen y el propósito de Hajime:
Hay otro aspecto del gusano que se destaca. En el mensaje de difusión, el autor se refiere a sí mismos como el “Hajime autor” pero el nombre Hajime aparece en ninguna parte de los binarios. De hecho, el nombre de “Hajime” no vino de autor, sino más bien de los investigadores que descubrieron el gusano y manchados similitudes entre ella y la red de bots Mirai y querían mantener el tema de nomenclatura japonesa (Mirai significa “futuro” en japonés, Hajime significa "comienzo"). Esto demuestra que el autor era consciente del informe de los investigadores y parece haber gustado el nombre.
Cómo proteger su dispositivo IO?
Nuestro blogger invitado Martin Beltov ha esbozado algunos consejos útiles para la configuración de dispositivos IO con el fin de su seguridad a mejorar:
- Minimizar la exposición de Crítico Red - Esto es en realidad una de las formas más sencillas para minimizar los ataques de piratas informáticos. Esta es también una de las medidas más fáciles que los propietarios de dispositivos pueden implementar. Esta política exige que todas las características y servicios no utilizados que el usuario no utiliza debe estar apagado. Si el dispositivo es un uno no crítica (importantes servicios no dependen de él) También se puede apagar cuando no esté en uso. Una buena configuración de servidor de seguridad que impide el acceso de administrador de redes externas puede proteger contra ataques de fuerza bruta. Los dispositivos que cumplen funciones importantes se pueden segmentar en otra zona de la obra principal o la red doméstica.
- Un exhaustivo programa de instalación - Muchos ataques de intrusión se realizan mediante el uso de dos métodos populares - la fuerza bruta y ataques de diccionario. Ellos actúan en contra de los mecanismos de autenticación de los aparatos. Los administradores del sistema pueden hacer cumplir una política de contraseñas fuertes y las medidas que defenderse de los ataques de fuerza bruta mediante la adición de sistemas de detección de intrusos. El uso de protocolos seguros es también una buena idea - VPN y SSH con una configuración de seguridad adecuada.
- Actualizaciones de seguridad - No proporcionar actualizaciones de seguridad para los aparatos propiedad es probablemente uno de los mayores problemas que conducen a ataques de intrusión. Es importante llevar a cabo actualizaciones regulares.
- Implementar medidas de seguridad adicionales - Cuando los dispositivos IO se utilizan en un entorno corporativo o de producción que hay varias maneras de fortalecer la seguridad. Estos incluyen pruebas de penetración, métodos de gestión de red proactiva y análisis.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: