Sikkerhed analytikere opdaget en ny farlig botnet baseret på Mirai, der bruges i en verdensomspændende angreb kampagne. Det kaldes Masuta og det har allerede påvirket en masse udstyr, i det øjeblik, det menes, at en erfaren hacker står bag sine operationer.
Den Masuta Botnet er en værdig arving til Mirai
En ny verdensomspændende Internet trussel er blevet påvist i et storstilet angreb kampagne. Den nyeste computer-virus, der har forårsaget sikkerhed administratorer at gennemgå deres enheder. Det kaldes Masuta botnet og er bygget på fundamentet af Mirai. Dens navn betyder “mestre” på japansk og dens kildekode blev fundet på en af de underjordiske hacker fora. Eksperterne var i stand til at få adgang til sin konfigurationsfil og nogle af de vigtige komponenter, der er en del af den malware motor. Den grundig analyse afslører, at den bruger en modificeret udgave af Mirai botnet, der har ændret cipher bruges til at indlede angreb.
Eksperterne udnytte et domæne kaldet Nexuis IoT Solutions, der anvendes som den primære kommando og kontrol (C&C) i nogle af angrebene. Det er registreret ved hjælp af en e-mail-adresse hostes på Gmail. Eksperterne foreslår, at det er muligt, at Masuta betjenes af Nexus Zeta, også ansvarlig for Satori botnet. Rapporterne angiver, at mens Masuta er ikke helt en ny trussel, der har været baseret på ældre kode, det angreb er støt stigende, og det kan have frygtelige konsekvenser upon ofrene. Ligesom sin forgænger er det forsøg på at kompromitere opdaget IOT ved at forsøge adgang via standard eller svage legitimationsoplysninger.
Masuta botnet Taktik: Den tingenes internet Menace
Den Masuta botnet er effektiv mod IoT enheder af alle typer. I øjeblikket er der to varianter identificeret af eksperterne:
- Masuta botnet - Det bruger de samme teknikker som Mirai ved at forsøge at overvinde sikkerheden af mål IoT enheder ved hjælp af en indbygget liste over almindelige passwords og standard legitimationsoplysninger.
- PureMasuta - Dette er en udvidet version, der er udstyret med en indbygget udnytte mod EDB 38722 D-Link-enhed.
Den udnyttelse indeholdt i PureMasuta afhængig af en sårbarhed i HNAP (Home Network Administration Protocol) protokol. Ved at bruge den indeholdte kode kan det udforme en særlig anmodningsbesked som er i stand til at omgå mekanisme sikkerheden autentificering. Som et resultat de kriminelle kan køre vilkårlig kode på målet enheder.
Den Masuta botnet er konfigureret til at hente og køre et script fra C&C server. Under sikkerhedsanalyse blev det opdaget, at malware er i stand til at gennemføre andre lignende exploits såsom CVE-2014-8361 og CVE-2017-17.215 effektiv mod en bred vifte af netværksenheder.
De sikkerhedseksperter opmærksom på, at den anvendte protokol udnytter stort set tillade hacker operatørerne at få adgang til inficerede maskiner og manipulere dem efter deres planer. I sammenligning med simple angreb disse type angreb tillade hackere til direkte at overtage kontrollen af maskinerne. Som en konsekvens er mulige andre malware handlinger, herunder følgende scenarier:
- Trojan Instans - I praksis den indlejrede kode kan bruges til at starte en trojansk virus på målet IoT enheder. En sådan malware tillade hacker operatørerne til at spionere på enhedens aktivitet i realtid samt overtage styringen af maskinerne på et givet tidspunkt.
- Trafik Redirect - Hvis de kompromitterede værter er networking gateway udstyr (såsom routere og switche) hackere kan viderebringe den trafik gennem hacker-opererede server. Sådanne handlinger er vant til at anlægge kompleks man-in-the-middle angreb.
- Malware Levering - Når netværket er blevet overtrådt kompromitteret enhed kan bruges til at levere forskellige typer af virus til de andre tilsluttede værter.
For at beskytte sig mod Masuta botnet infektioner alle computerbrugere bør opdatere deres IoT enheder til den nyeste tilgængelige version og overvåge deres sælgers sikkerhedsbulletin til kommende patches.
Computerbrugere kan bør altid være på vagt over for malware infektioner. En gratis scanning kan afsløre sådanne tilfælde og muliggøre en enkel fjernelse.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter