En ny variant af Mirai lige før jul? Jo da, hvorfor ikke!
Qihoo 360 Netlab forskere kun vidne ny uptick mens sporing botnet aktivitet associeret med en ny variant af den velkendte Mirai IoT malware. Brugere bør være opmærksomme på, at havnene 23 og 2323 på IoT udstyr fremstillet ZyXEL Communications er målrettet. Enhederne er kendt for at bruge standard-admin / CentryL1nk og admin / Qwestm0dem telnet legitimationsoplysninger, forskere rapporteret.
Cirka 60 timer siden, siden 2017-11-22 11:00, vi bemærket store upticks på port 2323 og 23 scan trafik, med næsten 100k unikke scanner IP kom fra Argentina. efter undersøgelse, vi er helt overbeviste om at fortælle dette er en ny Mirai-variant.
Forskerholdet observeret to nye legitimationsoplysninger – admin / CentryL1nk og admin / QwestM0dem - i deres honeypot trafik. Tilsyneladende, de to porte anvendes for tiden i en aktiv måde. Det skal bemærkes, at legitimationsoplysninger admin / CentryL1nk blev først dukkede op i en udnytte om ZyXEL PK5001Z modem i udnytte-db mindre end en måned siden.
Mirai opstod sidste år, da det begyndte at sprede og påvirker tingenes internet-enheder adgang til dem via standard password og brugernavne. Berørte enheder indgik i et botnet, der blev indsat for distributed denial of service-angreb (DDoS). DNS-udbyder Dyn var en af de største ofre, der fører til angreb på populære platforme som Twitter og Netflix.
I februar i år botnettet blev endda udstyret med en Windows-variant, Trojan.Mirai.1, som afsløret ved sikkerhedseksperter på Dr. Web. Den nye variant målrettet Windows og kan kompromittere flere porte end sin Linux-modstykke. Trojan.Mirai.1 blev også inficere IoT enheder og udføre DDoS-angreb, som med Linux versionen.
Som allerede nævnt, aktuelle angreb er at drage fordel af to nye legitimationsoplysninger (admin / CentryL1nk og admin / QwestM0dem). Tilsyneladende, hackere succes automatiseret proces med logning i ZyXEL enheder via telnet legitimationsoplysninger. En separat hårdt kodet superbruger sårbarhed identificeret som CVE-2016-10.401 blev også udnyttes til at opnå root-rettigheder på målrettede enheder.
Detaljer om CVE-2016-10.401
ZyXEL PK5001Z enheder har zyad5001 som password su, hvilket gør det lettere for fjernangribere at få root-adgang, hvis en konto adgangskode ikke-rod er kendt (eller eksisterer en ikke-root standard konto inden en internetudbyders implementering af disse enheder).
Forskere har været at observere en besværlig trend involverer angribere aktivt udnytter offentliggjorte detaljer om denne udnytte, da det først blev udgivet i oktober.
Qihoo 360 Forskerne rapporterede, at udnyttelsen af de to legitimationsoplysninger nævnt ovenfor i gang på November 22. Holdet opdaget, at de fleste af scanneren IP-trafik kom fra Argentina med ca. 65.7 tusind unikke scannere i mindre end en dag.
Dette er ikke første gang, ZyXEL gear bliver kompromitteret
Flere måneder siden, forsker Stefan Viehböck rapporterede, at WiMAX routere skabt af ZyXEL var modtagelige for en godkendelse bypass, der kunne gøre det muligt for en ondsindet skuespiller til at ændre adgangskoden for administrator, få adgang til den målrettede enhed eller endda selve netværket.
En anden forsker, Pedro Ribeiro, kom på tværs tilgængelige admin konti og kommando injektion fejl i routere fremstillet af ZyXEL og distribueret af TrueOnline, eller den største bredbånd selskab i Thailand.
Sådan beskytter dine tingenes internet-enheder – nogle nyttige tips
Der er flere retningslinjer, som alle enhedens ejere tingenes internet skal følge for at beskytte deres netværk og udbydere fra ondsindede indtrængen og andre sikkerhedstrusler. Disse foranstaltninger kræver ikke store mængder af tid, der ofte opdraget som en grund til ikke at ansætte alle de foranstaltninger,. Afhængigt af miljøet kan der være nogle forskelle i omfanget af konfigurationsændringer. Ikke desto mindre, vi giver dig de mere generelle tips, som bør yde tilstrækkelig sikkerhed mod de fleste trusler.
- Minimer Ikke-kritisk Netværk Eksponering - Dette er faktisk en af de enkleste måder at minimere hackerangreb. Dette er også en af de letteste foranstaltninger at enhedens ejere kan implementere. Denne politik mandater, at alle ubrugte funktioner og tjenester, som brugeren ikke bruger bør slukkes. Hvis enheden er en ikke-kritisk (vigtige tjenester afhænger ikke det) det kan også være slukket, når den ikke er i brug. En god firewall opsætning, der forhindrer adgang administrator fra eksterne netværk kan beskytte mod brute force-angreb. Enheder, der tjener vigtige funktioner kan opdeles i en anden zone fra den primære arbejde eller hjemmenetværk.
- En grundig opsætning - Mange indtrængen angreb udføres ved hjælp af to populære metoder - brute force og ordbogsangreb. De handler imod authentication mekanismer apparaterne. Systemadministratorer kan håndhæve en stærk adgangskode politik og foranstaltninger, der beskytter mod brute force-angreb ved at tilføje intrusion detection systemer. Ved hjælp af sikre protokoller er også en god idé - VPN og SSH med en ordentlig sikkerhed konfiguration.
- Sikkerhedsopdateringer - Ikke at give sikkerhedsopdateringer til de ejede apparater er formentlig en af de største problemer, der fører til indtrængen angreb. Det er vigtigt at udføre regelmæssige opdateringer, klik for at lære mere.
- Gennemføre yderligere sikkerhedsforanstaltninger - Når der anvendes IoT enheder i en virksomheds eller produktionsmiljø er der flere måder at styrke sikkerheden. Heriblandt penetration test, proaktiv netværksstyring og analysemetoder.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig:
Godt forklaret. Tak, fordi du påpegede CVE-2016-10401. Meget nyttig til mit speciale. Hej fra Rusland :)
Glad for at vi er til hjælp!