Una nuova variante del Mirai poco prima di Natale? Certo, perchè no!
Qihoo 360 ricercatori NETlab solo assistito nuovo uptick mentre l'attività di monitoraggio botnet associata con una nuova variante del noto-malware Mirai IoT. Gli utenti dovrebbero essere consapevoli del fatto che le porte 23 e 2323 su degli oggetti dispositivi prodotti da ZyXEL Communications sono mirati. I dispositivi sono noti per essere utilizza di default admin / CentryL1nk e le credenziali telnet admin / Qwestm0dem, I ricercatori hanno riferito.
Su 60 ore fa, da 2017-11-22 11:00, abbiamo notato grandi upticks sulla porta 2323 e 23 traffico di scansione, con quasi 100k unico IP Scanner è venuto dall'Argentina. dopo un'indagine, siamo abbastanza sicuri di raccontare questa è una nuova variante Mirai.
Il team di ricerca ha osservato due nuove credenziali – admin / CentryL1nk e admin / QwestM0dem - nel loro traffico honeypot. Apparentemente, le due porte sono attualmente utilizzati in maniera attiva. Va notato che credenziali admin / CentryL1nk è stata la prima volta in un exploit su modem ZyXEL PK5001Z a sfruttare-db meno di un mese fa.
Mirai è emerso l'anno scorso quando ha cominciato a diffondersi e che interessano i dispositivi IoT loro accesso tramite password e nomi utente di default. dispositivi interessati sono stati inclusi in una botnet che è stato schierato per distributed denial of service attacchi (DDoS). provider DNS Dyn è stato uno dei più grandi vittime che portano ad attacchi su piattaforme popolari come Twitter e Netflix.
Nel febbraio di quest'anno la botnet è stato anche dotato di una variante di Windows, Trojan.Mirai.1, come rivelato da ricercatori di sicurezza a Dr. Tela. La nuova variante di mira Windows e potrebbe compromettere più porte rispetto alla sua controparte di Linux. Trojan.Mirai.1 stato anche infettando dispositivi internet degli oggetti e la realizzazione di attacchi DDoS, come con la versione Linux.
Come già detto, attacchi attuali stanno approfittando di due nuove credenziali (admin / CentryL1nk e admin / QwestM0dem). Apparentemente, hacker automatizzati con successo il processo di registrazione in dispositivi ZyXEL via telnet le credenziali. Un disco vulnerabilità superuser codificato separata identificato come CVE-2.016-10.401 stato anche sfruttato per ottenere i privilegi di root sui dispositivi mirati.
Dettagli sulla CVE-2.016-10.401
dispositivi ZyXEL PK5001Z hanno zyad5001 come password su, che rende più facile per gli aggressori remoti di ottenere accesso root se una password di account non root è noto (o un account predefinito non root esiste all'interno dispiegamento di un ISP di questi dispositivi).
I ricercatori hanno osservato una tendenza fastidiosa che coinvolge gli aggressori sfruttano attivamente divulgato pubblicamente i dettagli di questo exploit da quando è stato rilasciato nel mese di ottobre.
Qihoo 360 i ricercatori hanno riferito che lo sfruttamento delle due credenziali di cui sopra ha iniziato nel novembre 22. Il team ha rilevato che la maggior parte del traffico IP Scanner è venuto dall'Argentina con circa il 65.7 mille scanner unici in meno di un giorno.
Questa non è la prima volta ZyXEL marcia viene compromessa
Diversi mesi fa, ricercatore Stefan Viehbock ha riferito che i router WiMAX creati da ZyXEL erano suscettibili di un bypass di autenticazione che potrebbe consentire a un attore dannoso per cambiare la password dell'utente amministratore, ottenere l'accesso al dispositivo di destinazione o anche la rete stessa.
Un altro ricercatore, Pedro Ribeiro, imbattuto account amministrativi accessibili e difetti di iniezione di comando in router prodotti da ZyXEL e distribuito da TrueOnline, o la più grande azienda a banda larga in Thailandia.
Come proteggere i vostri dispositivi IoT – alcuni consigli utili
Ci sono diverse linee guida che tutti i proprietari di dispositivi internet degli oggetti dovrebbero seguire per proteggere le loro reti e host da intrusioni maligni e altre minacce alla sicurezza. Queste misure non necessitano di grandi quantità di tempo che è spesso allevato come una ragione per non impiegare tutte le misure. A seconda dell'ambiente ci possono essere alcune differenze nella scala delle modifiche di configurazione. Ciò nonostante, vi stiamo dando i suggerimenti più generali che dovrebbero fornire una protezione adeguata contro la maggior parte delle minacce.
- Ridurre al minimo l'esposizione non critico Network - Questo è in realtà uno dei modi più semplici per ridurre al minimo gli attacchi degli hacker. Questa è anche una delle misure più semplici che i proprietari di dispositivi possono implementare. Questa politica mandati che tutte le funzioni e servizi inutilizzati che l'utente non utilizza deve essere spento. Se il dispositivo è un non critico (importanti servizi non dipendono da esso) può anche essere spento quando non in uso. Una buona configurazione firewall che impedisce l'accesso amministratore da reti esterne in grado di proteggere contro gli attacchi di forza bruta. I dispositivi che svolgono funzioni importanti possono essere segmentati in un'altra zona dal lavoro primaria o rete domestica.
- Una configurazione approfondita - Molti attacchi di intrusione sono effettuate utilizzando due metodi popolari - la forza bruta e gli attacchi del dizionario. Essi agiscono contro i meccanismi di autenticazione degli apparecchi. Gli amministratori di sistema possono imporre una forte politica di password e le misure che difendersi dagli attacchi di forza bruta con l'aggiunta di sistemi di rilevamento delle intrusioni. Utilizzando protocolli sicuri è anche una buona idea - VPN e SSH con una configurazione di sicurezza adeguata.
- Aggiornamenti di sicurezza - Non fornire aggiornamenti di sicurezza per gli apparecchi di proprietà è probabilmente uno dei problemi più grandi che portano ad attacchi di intrusione. E 'importante eseguire aggiornamenti regolari, clicca per saperne di più.
- Implementare misure di sicurezza aggiuntive - Quando i dispositivi internet degli oggetti vengono utilizzati in un ambiente aziendale o di produzione ci sono diversi modi per rafforzare la sicurezza. Questi includono test di penetrazione, metodi di gestione di rete proattivo e analisi.
ben spiegato. Grazie per aver ricordato CVE-2.016-10.401. Molto utile per la mia tesi di laurea. Ciao da Russia :)
Sono contento che siamo di aiuto!