Mirai is niet de grootste ivd worm meer, als een strijd vormt tussen de overblijfselen van de beruchte botnet en een nieuw opkomende familie nagesynchroniseerde Hajime.
In eerste instantie ontdekt in oktober 2016, Hajime maakt gebruik van onbeveiligde apparaten met open Telnet poorten en standaard wachtwoorden, net als Mirai deed. belangwekkend, de nieuwe familie maakt gebruik van de zeer dezelfde gebruikersnaam en wachtwoord combo's die worden gebruikt door Mirai, plus nog twee. Echter, gelijkenissen met Mirai eindigen hier.
Hoe Vergelijkbaar is Hajime aan Mirai? Hajime ivd Worm Technisch overzicht
De allereerste grote verschil is dat Hajime is gebouwd op een peer-to-peer-netwerk, dat Mirai gebruikt hard gecodeerde adressen voor de C&C server. In plaats van een C&C server adres, Hajime duwt commando-modules op de p2p-netwerk. Dientengevolge, het bericht geleidelijk propageert tot alle peers. Onderzoekers van mening dat dit ontwerp is sterker dan degene die worden gebruikt door Mirai want het is een grotere uitdaging om het neer te halen.
Verwant: Tools die nodig zijn om de veiligheid van ivd Devices te verbeteren
De nieuwe ivd worm heeft ook stealthier mogelijkheden, en is geavanceerder dan zijn voorganger. Na de eerste infectie de dreiging verschillende stappen om de lopende processen te verbergen evenals de bestanden op het bestandssysteem zou nemen. Bovendien, de exploitant van de worm kan een shell script openen voor geïnfecteerde apparaat in het netwerk altijd. Onderzoekers zeggen dat de code is modulair wat betekent dat nieuwe mogelijkheden kunnen worden toegevoegd in de go. Dit alles betekent dat de programmeurs namen hun tijd om Hajime maken een sluipend en aanhoudende ivd bedreiging.
Hajime Distribution
Symantec heeft gemeld dat de worm is vrij snel verspreidt in de afgelopen maanden. Het beveiligingsbedrijf heeft gedetecteerd besmettingen op mondiaal niveau, het hoogste niveau in Brazilië en Iran geregistreerd.
Geen DDoS Kenmerken
Hajime heeft geen DDoS-mogelijkheden op een aanvallende code, de voortplanting code uitgesloten. De worm haalt een verklaring van de controller en geeft deze weer op de terminal ongeveer elke 10 notulen, Symantec verklaart. Dit is het huidige bericht:
Gewoon een witte hoed, veiligstellen van sommige systemen.
Belangrijke berichten worden ondertekend als deze!
Hajime Auteur.
Contact GESLOTEN
Blijf scherp!
Dit bericht wordt cryptografisch getekend. Hajime accepteert alleen berichten door een hardcoded sleutel ondertekend, dus er is geen twijfel over bestaan dat de tekst is geschreven door de auteur. Echter, onderzoekers vragen of Hajime's auteur is een echte witte hoed als zijn bedoelingen snel kan verschuiven en geïnfecteerde apparaten zou kunnen uitmonden in een enorme botnet.
Niettemin, Symantec-onderzoekers twijfelen nog steeds aan de oorsprong en het doel van Hajime:
Er is een ander aspect van de worm die opvalt. In de uitzending bericht, de auteur verwijst naar zichzelf als de “Hajime Author” maar de naam Hajime verschijnt nergens in de binaries. In feite, de naam “Hajime” kwam niet van de auteur, maar veeleer van de onderzoekers die de worm ontdekt en zag overeenkomsten tussen haar en de Mirai botnet en wilde de Japanse naamgeving thema handhaven (Mirai betekent “toekomst” in het Japans, Hajime betekent "begin"). Hieruit blijkt dat de auteur zich bewust was van het rapport van de onderzoekers en leek te hebben vond de naam.
Hoe Beveilig uw ivd Device?
Onze gast blogger Martin Beltov schetste enkele nuttige tips voor het configureren van ivd-apparaten, zodat hun veiligheid te verbeteren:
- Minimaliseren van niet-kritische Network Exposure - Dit is eigenlijk een van de eenvoudigste manieren om aanvallen van hackers te minimaliseren. Dit is ook een van de gemakkelijkste maatregelen die apparaat eigenaren kunnen implementeren. Dit beleid schrijft voor dat alle ongebruikte functies en diensten die de gebruiker geen gebruik mag worden uitgeschakeld. Als het apparaat een niet-kritieke (belangrijke diensten niet afhangen) het kan ook worden uitgeschakeld wanneer deze niet gebruikt. Een goede firewall setup die toegang administrator voorkomt externe netwerken kunnen beschermen tegen brute force aanvallen. Apparaten die belangrijke functies dienen kunnen worden onderverdeeld in een andere zone van het primaire werk of thuisnetwerk.
- Een grondige Setup - Vele inbraak aanvallen worden uitgevoerd door het gebruik van twee populaire methodes - brute force en dictionary-aanvallen. Zij treden tegen de authenticatie mechanismen van de toestellen. Systeembeheerders kunnen een sterk wachtwoord beleid en maatregelen die verdedigen tegen brute force-aanvallen af te dwingen door het toevoegen van intrusion detection systemen. Het gebruik van veilige protocollen is ook een goed idee - VPN en SSH met een behoorlijke beveiligingsconfiguratie.
- beveiligingsupdates - Niet het verstrekken van beveiligingsupdates op de eigendom apparaten is waarschijnlijk een van de grootste problemen die leiden tot aanvallen van hackers. Het is belangrijk om regelmatig updates uit te voeren.
- Implementeer extra veiligheidsmaatregelen - Wanneer ivd-apparaten worden gebruikt in een bedrijfs- of productie-omgeving zijn er verschillende manieren om de veiligheid te versterken. Deze omvatten penetratie testen, pro-actief netwerkbeheer en analysemethoden.