Eine neue Variante von Mirai kurz vor Weihnachten? Sicher, warum nicht!
Qihoo 360 Netlab Forscher nur Zeuge neuer uptick während Tracking-Botnet-Aktivitäten mit einer neuen Variante der zugehörigen bekannten Mirai IoT Malware. Anwender sollten die Ports bewusst sein, 23 und 2323 auf IoT von ZyXEL Communications hergestellten Produkte werden gezielt. Die Geräte sind dafür bekannt, Standard-Admin / CentryL1nk und admin / Qwestm0dem Telnet-Anmeldeinformationen verwenden, Forscher berichteten,.
Über 60 Vor Stunden, schon seit 2017-11-22 11:00, wir bemerkte große upticks auf Port 2323 und 23 Scan-Verkehr, mit fast 100k einzigartigen Scanner IP kamen aus Argentinien. nach einer Untersuchung, wir sind sehr zuversichtlich, eine neue Mirai Variante zu sagen, das ist.
Das Forschungsteam beobachtet zwei neue Berechtigungsnachweise – admin / CentryL1nk und admin / QwestM0dem - in ihrem Honeypot Verkehr. Offenbar, die beiden Ports derzeit in einer aktiven Art und Weise verwendet. Es soll beachtet werden, dass Credential admin / CentryL1nk wurde zum ersten Mal in einem erschien ausbeuten über ZyXEL PK5001Z Modem in Exploit-db weniger als ein Monat.
Mirai entstand im vergangenen Jahr, als es begann die Verbreitung und die Auswirkungen auf IoT Geräte, um sie über Standard-Passwort Zugriff und Benutzernamen. Betroffene Geräte wurden in einem Botnet enthalten, die für verteilte Denial-of-Service-Attacken eingesetzt wurde (DDoS). DNS-Provider Dyn war eines der größten Opfer zu Angriffen auf beliebte Plattformen führende wie Twitter und Netflix.
Im Februar wurde das Botnetz in diesem Jahr sogar mit einer Windows-Variante ausgestattet, Trojan.Mirai.1, wie von Sicherheitsexperten bei Dr enthüllt. Netz. Die neue Variante unter Windows konzipiert und könnte mehr Anschlüsse als sein Linux-Pendant kompromittieren. Trojan.Mirai.1 wurde infiziert auch IoT-Geräte und DDoS-Attacken durchzuführen, wie mit der Linux-Version.
Wie bereits erwähnt, Strom Angriffe Vorteil von zwei neuen Anmeldeinformationen werden unter (admin / CentryL1nk und admin / QwestM0dem). Offenbar, Hacker erfolgreich den Prozess der Protokollierung in ZyXEL Geräte per Telnet-Anmeldeinformationen automatisiert. Ein separater Fest codierte Superuser Verwundbarkeit als CVE-2.016-10.401 identifiziert wurde auch an Zielgeräten zu gewinnen Root-Privilegien gehebelt.
Details zu CVE-2.016-10.401
ZyXEL PK5001Z Geräte haben als su Passwort zyad5001, das macht es einfacher für die entfernten Angreifer zu erhalten Root-Zugriff, wenn ein Nicht-Root-Account-Passwort bekannt ist (oder ein Nicht-Root-Standardkonto existiert innerhalb eines ISPs Einsatz dieser Geräte).
Forscher haben die Angreifer aktiv zu nutzen öffentlich bekannt Einzelheiten dazu ausnutzen, da sie erstmals im Oktober veröffentlicht wurden eine lästige Trend zu beobachten.
Qihoo 360 Forscher berichteten, dass die Nutzung der beiden Anmeldeinformationen oben am November erwähnt gestartet 22. Das Team festgestellt, dass die meisten der Scanner IP-Verkehr aus Argentinien kam mit ca. 65.7 Tausend einzigartige Scanner in weniger als einem Tag.
Dies ist nicht das erste Mal ZyXEL Gang beeinträchtigt wird
Vor einigen Monaten, Forscher Stefan Viehböck berichtete, dass WiMAX-Router von ZyXEL erstellt ein Authentifizierungs Bypass anfällig war, die einen böswilligen Schauspieler ermöglichen könnten das Passwort des Admin-Benutzers zu ändern, erhält Zugriff auf das Zielgerät oder auch das Netzwerk selbst.
Ein anderer Forscher, Pedro Ribeiro, kam über zugänglich Admin-Konten und Befehlsinjektionsfehler in Router von ZyXEL hergestellt und vertrieben von TrueOnline verteilt, oder die größten Breitband-Unternehmen in Thailand.
So schützen Sie Ihre IoT-Geräte – einige nützliche Tipps
Es gibt verschiedene Richtlinien, die alle IoT-Gerät Besitzer folgen sollten ihre Netzwerke und Hosts vor bösartigen Eindringlingen und anderen Sicherheitsbedrohungen zu schützen. Diese Maßnahmen erfordern keine großen Mengen an Zeit, die oft als Grund brachte nicht alle Maßnahmen zu beschäftigen. Abhängig von der Umgebung kann es einige Unterschiede in der Skala von Konfigurationsänderungen werden. Dennoch, geben wir Ihnen die allgemeineren Tipps, die ausreichende Sicherheit gegen die meisten Bedrohungen bieten sollte.
- Minimieren Non-Critical Netzwerk Exposure - Das ist eigentlich eine der einfachsten Möglichkeiten, Hacker-Attacken zu minimieren. Dies ist auch eine der einfachsten Maßnahmen, dass Gerät Besitzer umsetzen können. Diese Richtlinie schreibt vor, dass alle nicht verwendeten Funktionen und Dienste, die der Benutzer nicht, sollten ausgeschaltet nicht verwendet werden. Wenn das Gerät eine nicht-kritische (wichtige Dienste hängen nicht von ihm) es kann auch bei Nichtgebrauch ausgeschaltet werden. Eine gute Firewall-Setup, das über Administratorzugriff von externen Netzwerken verhindert können Brute-Force-Angriffe schützen vor. Geräte, die wichtige Funktionen dienen können in eine andere Zone von der primären Arbeit oder zu Hause Netzwerk segmentiert werden.
- Eine gründliche Einrichtung - Viele Intrusion-Angriffe werden durch Verwendung von zwei beliebte Methoden - Brute-Force-und Wörterbuch-Attacken. Sie wirken gegen die Authentifizierungsmechanismen der Geräte. Systemadministratoren können eine starke Kennwortrichtlinien und Maßnahmen durchzusetzen, die gegen Brute-Force-Angriffe zu verteidigen durch Hinzufügen Intrusion-Detection-Systeme. Die Verwendung von sicheren Protokollen ist auch eine gute Idee - VPN und SSH mit einer richtigen Sicherheitskonfiguration.
- Sicherheits-Updates - Nicht die Bereitstellung von Sicherheitsupdates den Besitz Geräte ist wahrscheinlich eines der größten Probleme, die zu Intrusion-Attacken führen. Es ist wichtig, regelmäßige Updates durchzuführen, Klicke, um mehr zu lernen.
- Implementieren Sie zusätzliche Sicherheitsmaßnahmen - Wenn IoT-Geräte in einem Unternehmen oder Produktionsumgebung verwendet werden, gibt es mehr Möglichkeiten, um die Sicherheit zu stärken. Dazu zählen Penetrationstests, proaktive Netzwerkmanagement und Analyseverfahren.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir:
Nun erklärt. Vielen Dank für den Hinweis auf CVE-2.016-10.401. Sehr nützlich für meine Diplomarbeit. Hallo aus Russland :)
Gut, dass wir Hilfe!