Was scheint bisher das größte Botnet zu sein - Mirai noch eine weitere Bedrohung geschaffen hat, diesmal für das deutsche Unternehmen, Deutsche Telekom. Das Botnet hat es geschafft, mit dem Admin-Panel der meisten Breitband-Router anmelden, beeinflussen die Leistung von über 900,000 Kundschaft.
Das BSI Büro (Deutsch Bundesamt für Sicherheit in der Informations) hat mit einer Aussage über diese massive und automatisierte Cyber-Attacke kommen, während der letzten Wochenende im November entdeckt, 2016.
verstehen Aus dem Bericht können wir auch, dass es möglicherweise eine modifizierte Version der gewesen Mirai Wurm, die offen war für die Öffentlichkeit freigegeben, was zu massiven Chaos. Diese modifizierte Variante hat damit begonnen, Angriffe und Infektionen auf mehreren CCTV-Kameras sowie IoT Geräte unterschiedlicher Art verursachen.
Was bedeutet diese Mirai Variante Do?
Es wurde geschätzt, dass Mirai die Wartungsschnittstelle an den Deutsch-Modems verwendet hat, genauer gesagt, die Malware angegriffen Port 7547.
Dies erlaubt Mirai auch administrativen Zugriff auf Router zu gewinnen, gibt es die Macht, alles zu erfüllen, die aus dem Admin-Panel geändert werden können Router .
Sobald es die Kontrolle über Router und andere IoT-Geräte die Wurm-Attacken, sie werden vorübergehend "aus dem Geschäft".
Warum haben Mirai Infect erfolgreich die Geräte
Laut dem Forscher Darren Martyn, der The Register kontaktierte, es gab einige Probleme, die Chancen für den Wurm waren, wenn es um Besucher zu infizieren kam.
Die erste Komplikation ergibt sich aus einer der Schnittstellen der Vorrichtungen, als "TR-064". Diese Schnittstelle wurde über sie zugegriffen ist WAN-Port, der mit dem Internet verbunden ist, und das Gerät kann ohne Authentifizierungsanforderungen der Ferne über diesen Port verwaltet werden überhaupt.
Aber das ist nicht alles, eine andere Schnittstelle "TR-069" hat auch das Problem der Aktivierung TCP / IP-Port 7547, die Mirai so konfiguriert wurde, zu nutzen von. Aber da die 069 TR-Schnittstelle ist im Grunde ein WAN Management Protocol es nicht umsonst verwendet wird. Tatsache ist, dass die meisten ISPs in der Regel dieses sehr Protokoll verwenden, um ihre eigenen Netze aus der Distanz zu verwalten und damit beheben Probleme schneller. Aber die Situation ist, dass diese Schnittstelle auch mit einem Server verbunden ist, der TR hat-064(die erste Ausgabe) Kompatibilität. Dies bedeutet, dass, wenn ein Server angegriffen wird auf TR-064, es kann diese Befehle akzeptieren über 7547 ohne zusätzliche Konfiguration oder Authentifizierung zwischen den beiden Schnittstellen.
Ein weiteres Problem, nach der Forscher ist, dass der Router einen weiteren Schwachpunkt hatte die wiederum auf TR-064 Schnittstelle und ermöglicht es dem Botnet-Skripte mit dem Befehl zu injizieren und damit das Gerät vorübergehend unbrauchbar machen.
Und das 069/064 Problem ist nicht etwas, das auf ein oder zwei Geräte vorhanden ist, als auch. Martin behauptet, dass er entdeckt auch mehr als 40 Geräte einschließlich Digicom, Aztech, D-Link und andere große Namen zu sein anfällig für diese auch ausnutzen.
Da dies der Fall, es ist jetzt ganz klar, warum wurde das Virus so weit verbreitet, und es stellt sich die "Gefahrenstufe Bar" von Mirai Angriffe noch mehr. Denken Sie daran, dass die Opfer dieser Malware möglicherweise nicht nur in Deutschland Benutzer sein und die Geschwindigkeit, bei der dieser Variante verbreitet, es kann von diesem Augenblick an alle ISP auf der Welt zu infizieren.
Die Zerstörung von Mirai
Lassen Sie uns einen Blick auf einige hypothetische Szenarien nehmen, was passieren kann, wenn es einen Angriff von Mirai gewesen. Wenn ein Angreifer diese modifizierte Version Steuerung bedeutet dies, dass er die Geräte verwenden entscheidende Einstellungen wie die DNS-Adresse ändern können, sowie Einstellungen zu verbinden, die ihm wichtige Informationen von diesen Geräten zu schnüffeln lassen können. Und wir sind nicht nur reden über ein Wi-Fi-Passwort zu stehlen und die SSID hier, Diese Information ist massiv und sogar Benutzer-Passwörter erhalten werden können,.
Aber das ist nicht alles, in Bezug auf Schäden. Der Hacker hinter diesem Botnetz können auch die Geräte verwalten und hier sprechen wir über die Kontrolle über fast 1 Millionen Geräte über ACS-Management-Software normalerweise nur für ISPs.
Das Problem ist nun behoben und wird hoffentlich in der Zukunft nicht wiederholt werden und Experten arbeiten noch daran. In der Zwischenzeit alle Benutzer des Telekommunikations sollten wichtige Zugangsdaten ändern, wie Passwörter von entscheidender Konten zur Erhöhung der Sicherheit.
Sobald der massiven Angriff entdeckt wurde, das Unternehmen verantwortlich für die Geräte, Die Deutsche Telekom hat die Router gepatcht und den freien Zugang über ihre mobilen Geräte angeboten, zumindest bis sie mit dem Anschlag bewältigen.