Mirai New Variant gebruikt poort 23, Haven 2323 en CVE-2016-10.401
NIEUWS

Mirai New Variant gebruikt poort 23, Haven 2323 en CVE-2016-10.401

1 Star2 Stars3 Stars4 Stars5 Stars (Nog geen beoordeling)
Loading ...

Een nieuwe variant van Mirai net voor Kerstmis? Zeker, waarom niet!

Qihoo 360 Netlab onderzoekers net getuige nieuwe opleving terwijl bijhouden botnetactiviteit gekoppeld aan een nieuwe variant van de bekende Mirai ivd malware. Gebruikers moeten zich ervan bewust dat havens 23 en 2323 op ivd hulpmiddelen die zijn vervaardigd door ZyXEL Communications zijn gericht. De apparaten zijn bekend worden met behulp van standaard admin / CentryL1nk en admin / Qwestm0dem telnet geloofsbrieven, onderzoekers rapporteerden.

Verwante Story: Mirai Botnet neemt naar beneden over 900K ivd Devices In Duitsland

Over 60 uren geleden, sinds 2017-11-22 11:00, merkten we grote upticks op poort 2323 en 23 scan verkeer, met bijna 100k unieke scanner IP kwam uit Argentinië. na onderzoek, we hebben er alle vertrouwen om te vertellen dit is een nieuw Mirai variant.

Het onderzoeksteam waargenomen twee nieuwe referenties – admin / CentryL1nk en admin / QwestM0dem - in hun honeypot verkeer. Blijkbaar, de twee poorten worden momenteel gebruikt op een actieve manier. Opgemerkt dient te worden dat geloofsbrief admin / CentryL1nk werd voor het eerst verscheen in een exploit over ZyXEL PK5001Z modem in exploit-db minder dan een maand geleden.

Mirai ontstond vorig jaar, toen hij begonnen met het verspreiden en van invloed op ivd-apparaten toegang tot hen via standaard wachtwoord en gebruikersnaam. Getroffen apparaten werden opgenomen in een botnet, die werd ingezet voor distributed denial of service-aanvallen (DDoS). DNS-provider Dyn was één van de grootste slachtoffers die leidt tot aanvallen op populaire platforms zoals Twitter en Netflix.

In februari van dit jaar de botnet werd zelfs uitgerust met een Windows-variant, Trojan.Mirai.1, zoals blijkt uit security onderzoekers van Dr. Web. De nieuwe variant gerichte Windows en meer havens in gevaar kunnen brengen dan zijn Linux-tegenhanger. Trojan.Mirai.1 werd ook infecteren ivd-apparaten en het uitvoeren van DDoS-aanvallen, als de Linux versie.

Verwante Story: Trojan.Mirai.1: De Mirai DDoS Botnet Goes Windows

Zoals reeds gezegd, huidige aanvallen maken gebruik van twee nieuwe referenties (admin / CentryL1nk en admin / QwestM0dem). Blijkbaar, hackers met succes het proces van houtkap geautomatiseerde in ZyXEL apparaten via telnet geloofsbrieven. Een aparte hardcoded superuser kwetsbaarheid geïdentificeerd als CVE-2016-10.401 werd ook ingezet om root rechten te krijgen op gerichte apparaten.

Details over CVE-2016-10.401

ZyXEL PK5001Z apparaten zijn zyad5001 als su wachtwoord, wat het makkelijker maakt voor externe aanvallers root-toegang te verkrijgen als een niet-root account wachtwoord bekend (of een niet-root standaard account bestaat binnen de inzet van deze apparaten een ISP's).

Onderzoekers zijn het observeren van een lastige trend waarbij aanvallers actief gebruik te maken van openbaar gemaakte gegevens van deze exploit, omdat het voor het eerst in oktober werd uitgebracht.

Qihoo 360 onderzoekers rapporteerden dat de exploitatie van de twee referenties bovengenoemde begon op november 22. Het team ontdekt dat de meeste van de scanner IP-verkeer kwam uit Argentinië met ongeveer 65.7 duizend unieke scanners in minder dan een dag.

Dit is niet de eerste keer dat ZyXEL versnelling wordt gecompromitteerd

Enkele maanden geleden, onderzoeker Stefan Viehböck gemeld dat WiMAX routers aangemaakt door ZyXEL gevoelig waren voor een authenticatie bypass dat een kwaadwillende acteur in staat kan stellen om het wachtwoord van de admin gebruiker te wijzigen, toegang krijgen tot het beoogde toestel of het netwerk zelf.

Een andere onderzoeker, Pedro Ribeiro, stuitte toegankelijke admin accounts en commando injectie gebreken in routers vervaardigd door ZyXEL en gedistribueerd door TrueOnline, of de grootste breedband bedrijf in Thailand.

Hoe kunt u uw ivd apparaten te beschermen – enkele nuttige tips

Er zijn een aantal richtlijnen die alle ivd apparaat eigenaren moet volgen om hun netwerken en hosts te beschermen tegen schadelijke indringers en andere bedreigingen van de veiligheid. Deze maatregelen hebben geen grote hoeveelheden van de tijd, die vaak wordt gebracht als een reden om alle maatregelen niet in dienst te nemen vereisen. Afhankelijk van de omgeving kunnen er enkele verschillen in de omvang van de wijzigingen in de configuratie. Niettemin, wij geven u de meer algemene tips die een adequate beveiliging moeten bieden tegen de meeste bedreigingen.

  • Minimaliseren van niet-kritische Network Exposure - Dit is eigenlijk een van de eenvoudigste manieren om aanvallen van hackers te minimaliseren. Dit is ook een van de gemakkelijkste maatregelen die apparaat eigenaren kunnen implementeren. Dit beleid schrijft voor dat alle ongebruikte functies en diensten die de gebruiker geen gebruik mag worden uitgeschakeld. Als het apparaat een niet-kritieke (belangrijke diensten niet afhangen) het kan ook worden uitgeschakeld wanneer deze niet gebruikt. Een goede firewall setup die toegang administrator voorkomt externe netwerken kunnen beschermen tegen brute force aanvallen. Apparaten die belangrijke functies dienen kunnen worden onderverdeeld in een andere zone van het primaire werk of thuisnetwerk.
  • Een grondige Setup - Vele inbraak aanvallen worden uitgevoerd door het gebruik van twee populaire methodes - brute force en dictionary-aanvallen. Zij treden tegen de authenticatie mechanismen van de toestellen. Systeembeheerders kunnen een sterk wachtwoord beleid en maatregelen die verdedigen tegen brute force-aanvallen af ​​te dwingen door het toevoegen van intrusion detection systemen. Het gebruik van veilige protocollen is ook een goed idee - VPN en SSH met een behoorlijke beveiligingsconfiguratie.
  • beveiligingsupdates - Niet het verstrekken van beveiligingsupdates op de eigendom apparaten is waarschijnlijk een van de grootste problemen die leiden tot aanvallen van hackers. Het is belangrijk om regelmatig updates uit te voeren, Klik om meer te leren.
  • Implementeer extra veiligheidsmaatregelen - Wanneer ivd-apparaten worden gebruikt in een bedrijfs- of productie-omgeving zijn er verschillende manieren om de veiligheid te versterken. Deze omvatten penetratie testen, pro-actief netwerkbeheer en analysemethoden.
Verwante Story: Veiligheid Tips voor het configureren ivd Devices

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum voor 4 jaar. Geniet ‘Mr. Robot’en angsten‘1984’. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen!

Meer berichten

2 Reacties

  1. chris

    Well explained. Thanks for pointing out CVE-2016-10401. Very useful for my thesis. Hello from Russia :)

    1. Milena Dimitrova (Bericht Auteur)

      Glad we’re of help!

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...