Miraiはもはや最大のIoTワームではありません, 悪名高いボットネットの残骸と、ハジメと呼ばれる新たに出現した家族との間で戦いが形成されている.
10月に最初に発見された 2016, Hajimeは、開いているTelnetポートとデフォルトのパスワードを持つセキュリティで保護されていないデバイスを使用します, みらいちゃんと同じように. 興味深いことに, 新しいファミリは、Miraiで使用されているものとまったく同じユーザー名とパスワードの組み合わせを採用しています, プラス2つ. でも, みらいとの類似点はここで終わります.
はじめはみらいとどれくらい似ているか? HajimeIoTワームの技術概要
最初の大きな違いは、Hajimeがピアツーピアネットワーク上に構築されていることです, 一方、MiraiはCにハードコードされたアドレスを使用します&Cサーバー. Cの代わりに&Cサーバーアドレス, Hajimeはコマンドモジュールをp2pネットワークにプッシュします. 結果として, メッセージは徐々にすべてのピアに伝播します. 研究者たちは、このデザインは、それを取り除くのがより難しいので、みらいが使用したものよりも強力であると信じています.
関連している: IoTデバイスのセキュリティを向上させるために必要なツール
新しいIoTワームには、よりステルスな機能もあります, 前任者よりも進んでいます. 最初の感染後、脅威は実行中のプロセスとファイルシステム上のファイルを隠すためにいくつかの手順を実行します. さらに, ワームのオペレーターは、ネットワーク内の感染したデバイスに対していつでもシェルスクリプトを開くことができます。. 研究者によると、そのコードはモジュール式であり、外出先で新しい機能を追加できることを意味します. これはすべて、コーダーが時間をかけてHajimeをステルスで永続的なIoTの脅威にすることを意味します.
はじめの配布
ノートンライフロックは、ワームが過去数か月の間に非常に急速に拡散していると報告しています. 警備会社は世界レベルで感染を検出しました, ブラジルとイランで登録された最高レベル.
DDoS機能なし
Hajimeには、攻撃コードに対するDDoS機能がありません, 伝播コードは除外されました. ワームはそのコントローラーからステートメントをフェッチし、ほぼすべてのコマンドを端末に表示します 10 分, ノートンライフロックは説明します. これは現在のメッセージです:
ただの白い帽子, 一部のシステムの保護.
重要なメッセージはこのように署名されます!
はじめ作者.
連絡先は閉鎖
油断するな!
このメッセージは暗号で署名されています. Hajimeは、ハードコードされたキーで署名されたメッセージのみを受け入れます, したがって、テキストが著者によって書かれていることは間違いありません. でも, 研究者たちは、ハジメの作者が真の白い帽子であるかどうかを疑問視しています。彼の意図はすぐに変化し、感染したデバイスを巨大なボットネットに変える可能性があるからです。.
それにもかかわらず, ノートンライフロックの研究者は、まだハジメの起源と目的に疑問を持っています:
目立つワームの別の側面があります. ブロードキャストメッセージで, 作者は自分たちを「ハジメ作者」と呼んでいますが、ハジメという名前はバイナリのどこにも表示されていません. 実際には, 「ハジメ」という名前は、作者に由来するのではなく、ワームを発見し、ミライボットネットとの類似点を発見し、日本の命名テーマを維持したいと考えた研究者に由来します。 (みらいは日本語で「未来」を意味します, はじめは「始まり」を意味します). これは、著者が研究者の報告を知っていて、名前が好きだったように見えたことを示しています.
IoTデバイスを保護する方法?
ゲストブロガー マーティン・ベルトフ セキュリティを向上させるためにIoTデバイスを構成するためのいくつかの便利なヒントを概説しました:
- 重要でないネットワークへの露出を最小限に抑える –これは実際にはハッカーの攻撃を最小限に抑える最も簡単な方法の1つです. これは、デバイスの所有者が実装できる最も簡単な手段の1つでもあります. このポリシーでは、ユーザーが使用しないすべての未使用の機能とサービスをオフにする必要があります. デバイスが重要ではない場合 (重要なサービスはそれに依存していません) 使用しないときはオフにすることもできます. 外部ネットワークからの管理者アクセスを防ぐ優れたファイアウォール設定は、ブルートフォース攻撃から保護できます. 重要な機能を提供するデバイスは、主要な職場またはホームネットワークから別のゾーンにセグメント化できます.
- 徹底したセットアップ –多くの侵入攻撃は、ブルートフォース攻撃と辞書攻撃という2つの一般的な方法を使用して実行されます。. それらは、アプライアンスの認証メカニズムに対して機能します. システム管理者は、侵入検知システムを追加することで、強力なパスワードポリシーとブルートフォース攻撃を防御する手段を適用できます。. 安全なプロトコルを使用することも良い考えです–適切なセキュリティ構成のVPNとSSH.
- セキュリティアップデート –所有しているアプライアンスにセキュリティ更新プログラムを提供しないことは、侵入攻撃につながる最大の問題の1つである可能性があります。. 定期的な更新を実行することが重要です.
- 追加のセキュリティ対策を実装する – IoTデバイスを企業環境または実稼働環境で使用する場合、セキュリティを強化する方法はいくつかあります。. これらには侵入テストが含まれます, プロアクティブなネットワーク管理および分析方法.