Mirai non è più il più grande verme IoT, come una battaglia sta formando tra i resti della botnet famigerato e Hajime famiglia emergente doppiato.
Inizialmente scoperto nel mese di ottobre 2016, Hajime utilizza periferiche non protette con porte aperte Telnet e password predefinite, proprio come ha fatto Mirai. È interessante notare che, la nuova famiglia impiega gli stessi nome utente e password combo utilizzate da Mirai, più due più. Tuttavia, somiglianze finiscono qui Mirai.
Come simile è Hajime a Mirai? Hajime IoT Worm Panoramica tecnica
La prima grande differenza è che Hajime è costruito su una rete peer-to-peer, considerando Mirai utilizza indirizzi codificati per la C&Server di C. Invece di un C&indirizzo del server C, Hajime spinge moduli di comando alla rete p2p. Di conseguenza, il messaggio si propaga gradualmente a tutti i coetanei. I ricercatori ritengono che questo disegno è più forte di quello usato da Mirai in quanto è più difficile da prendere in giù.
Correlata: Gli strumenti necessari per migliorare la sicurezza dei dispositivi IoT
Il nuovo worm IoT ha anche funzionalità furtivi, ed è più avanzato rispetto al suo predecessore. Dopo l'infezione iniziale della minaccia sarebbe prendere diverse misure per nascondere i propri processi in esecuzione così come i suoi file nel file system. Inoltre, l'operatore della vite senza fine può aprire uno script per qualsiasi dispositivo infetto nella rete in qualsiasi momento. I ricercatori dicono che il suo codice è significato modulare che nuove funzionalità possono essere aggiunte in movimento. Tutto questo significa che i suoi programmatori hanno preso il loro tempo per rendere Hajime una minaccia furtivo e persistente degli oggetti.
Hajime distribuzione
Symantec ha riferito che il worm si sta diffondendo abbastanza rapidamente nel corso degli ultimi mesi. La società di sicurezza ha rilevato le infezioni a livello globale, i livelli più alti registrati in Brasile e Iran.
Nessun DDoS Caratteristiche
Hajime non ha capacità di DDoS su qualsiasi codice di attacco, il codice propagazione esclusa. La vite senza fine recupera una dichiarazione dal suo controllore e li visualizza sul terminale circa ogni 10 verbale, Symantec spiega. Questo è il messaggio corrente:
Basta un cappello bianco, alcuni sistemi di fissaggio.
I messaggi importanti saranno firmati come questo!
Hajime Autore.
Contatto chiuso
Stai attento!
Questo messaggio è firmato crittograficamente. Hajime accetta solo messaggi firmati da una chiave hardcoded, quindi non c'è alcun dubbio che il testo è scritto dall'autore. Tuttavia, i ricercatori si chiedono se l'autore di Hajime è un vero cappello bianco come le sue intenzioni possono spostare rapidamente e potrebbe trasformarsi dispositivi infetti in una botnet enorme.
Ciò nonostante, I ricercatori Symantec sono ancora dubbiosi sull'origine e lo scopo di Hajime:
C'è un altro aspetto della vite senza fine che si distingue. Nel messaggio di broadcast, l'autore si riferisce a se stessi come “Hajime Autore”, ma il nome Hajime appare da nessuna parte nei binari. Infatti, il nome “Hajime” non è venuto da parte dell'autore, ma piuttosto dai ricercatori che hanno scoperto il worm e vaiolate somiglianze tra essa e la botnet Mirai e ha voluto mantenere il tema di denominazione giapponese (Mirai significa “futuro” in giapponese, Hajime significa "inizio"). Questo dimostra che l'autore fosse a conoscenza della relazione dei ricercatori e sembrava aver gradito il nome.
Come proteggere il vostro dispositivo IoT?
Il nostro ospite blogger Martin Beltov ha delineato alcuni consigli utili per la configurazione dei dispositivi dell'Internet degli oggetti in modo che la loro sicurezza da migliorare:
- Ridurre al minimo l'esposizione non critico Network - Questo è in realtà uno dei modi più semplici per ridurre al minimo gli attacchi degli hacker. Questa è anche una delle misure più semplici che i proprietari di dispositivi possono implementare. Questa politica mandati che tutte le funzioni e servizi inutilizzati che l'utente non utilizza deve essere spento. Se il dispositivo è un non critico (importanti servizi non dipendono da esso) può anche essere spento quando non in uso. Una buona configurazione firewall che impedisce l'accesso amministratore da reti esterne in grado di proteggere contro gli attacchi di forza bruta. I dispositivi che svolgono funzioni importanti possono essere segmentati in un'altra zona dal lavoro primaria o rete domestica.
- Una configurazione approfondita - Molti attacchi di intrusione sono effettuate utilizzando due metodi popolari - la forza bruta e gli attacchi del dizionario. Essi agiscono contro i meccanismi di autenticazione degli apparecchi. Gli amministratori di sistema possono imporre una forte politica di password e le misure che difendersi dagli attacchi di forza bruta con l'aggiunta di sistemi di rilevamento delle intrusioni. Utilizzando protocolli sicuri è anche una buona idea - VPN e SSH con una configurazione di sicurezza adeguata.
- Aggiornamenti di sicurezza - Non fornire aggiornamenti di sicurezza per gli apparecchi di proprietà è probabilmente uno dei problemi più grandi che portano ad attacchi di intrusione. E 'importante eseguire aggiornamenti regolari.
- Implementare misure di sicurezza aggiuntive - Quando i dispositivi internet degli oggetti vengono utilizzati in un ambiente aziendale o di produzione ci sono diversi modi per rafforzare la sicurezza. Questi includono test di penetrazione, metodi di gestione di rete proattivo e analisi.