Een nieuwe variant van Mirai net voor Kerstmis? Zeker, waarom niet!
Qihoo 360 Netlab onderzoekers net getuige nieuwe opleving terwijl bijhouden botnetactiviteit gekoppeld aan een nieuwe variant van de bekende Mirai ivd malware. Gebruikers moeten zich ervan bewust dat havens 23 en 2323 op ivd hulpmiddelen die zijn vervaardigd door ZyXEL Communications zijn gericht. De apparaten zijn bekend worden met behulp van standaard admin / CentryL1nk en admin / Qwestm0dem telnet geloofsbrieven, onderzoekers rapporteerden.
Over 60 uren geleden, sinds 2017-11-22 11:00, merkten we grote upticks op poort 2323 en 23 scan verkeer, met bijna 100k unieke scanner IP kwam uit Argentinië. na onderzoek, we hebben er alle vertrouwen om te vertellen dit is een nieuw Mirai variant.
Het onderzoeksteam waargenomen twee nieuwe referenties – admin / CentryL1nk en admin / QwestM0dem - in hun honeypot verkeer. Blijkbaar, de twee poorten worden momenteel gebruikt op een actieve manier. Opgemerkt dient te worden dat geloofsbrief admin / CentryL1nk werd voor het eerst verscheen in een exploit over ZyXEL PK5001Z modem in exploit-db minder dan een maand geleden.
Mirai ontstond vorig jaar, toen hij begonnen met het verspreiden en van invloed op ivd-apparaten toegang tot hen via standaard wachtwoord en gebruikersnaam. Getroffen apparaten werden opgenomen in een botnet, die werd ingezet voor distributed denial of service-aanvallen (DDoS). DNS-provider Dyn was één van de grootste slachtoffers die leidt tot aanvallen op populaire platforms zoals Twitter en Netflix.
In februari van dit jaar de botnet werd zelfs uitgerust met een Windows-variant, Trojan.Mirai.1, zoals blijkt uit security onderzoekers van Dr. Web. De nieuwe variant gerichte Windows en meer havens in gevaar kunnen brengen dan zijn Linux-tegenhanger. Trojan.Mirai.1 werd ook infecteren ivd-apparaten en het uitvoeren van DDoS-aanvallen, als de Linux versie.
Zoals reeds gezegd, huidige aanvallen maken gebruik van twee nieuwe referenties (admin / CentryL1nk en admin / QwestM0dem). Blijkbaar, hackers met succes het proces van houtkap geautomatiseerde in ZyXEL apparaten via telnet geloofsbrieven. Een aparte hardcoded superuser kwetsbaarheid geïdentificeerd als CVE-2016-10.401 werd ook ingezet om root rechten te krijgen op gerichte apparaten.
Details over CVE-2016-10.401
ZyXEL PK5001Z apparaten zijn zyad5001 als su wachtwoord, wat het makkelijker maakt voor externe aanvallers root-toegang te verkrijgen als een niet-root account wachtwoord bekend (of een niet-root standaard account bestaat binnen de inzet van deze apparaten een ISP's).
Onderzoekers zijn het observeren van een lastige trend waarbij aanvallers actief gebruik te maken van openbaar gemaakte gegevens van deze exploit, omdat het voor het eerst in oktober werd uitgebracht.
Qihoo 360 onderzoekers rapporteerden dat de exploitatie van de twee referenties bovengenoemde begon op november 22. Het team ontdekt dat de meeste van de scanner IP-verkeer kwam uit Argentinië met ongeveer 65.7 duizend unieke scanners in minder dan een dag.
Dit is niet de eerste keer dat ZyXEL versnelling wordt gecompromitteerd
Enkele maanden geleden, onderzoeker Stefan Viehböck gemeld dat WiMAX routers aangemaakt door ZyXEL gevoelig waren voor een authenticatie bypass dat een kwaadwillende acteur in staat kan stellen om het wachtwoord van de admin gebruiker te wijzigen, toegang krijgen tot het beoogde toestel of het netwerk zelf.
Een andere onderzoeker, Pedro Ribeiro, stuitte toegankelijke admin accounts en commando injectie gebreken in routers vervaardigd door ZyXEL en gedistribueerd door TrueOnline, of de grootste breedband bedrijf in Thailand.
Hoe kunt u uw ivd apparaten te beschermen – enkele nuttige tips
Er zijn een aantal richtlijnen die alle ivd apparaat eigenaren moet volgen om hun netwerken en hosts te beschermen tegen schadelijke indringers en andere bedreigingen van de veiligheid. Deze maatregelen hebben geen grote hoeveelheden van de tijd, die vaak wordt gebracht als een reden om alle maatregelen niet in dienst te nemen vereisen. Afhankelijk van de omgeving kunnen er enkele verschillen in de omvang van de wijzigingen in de configuratie. Niettemin, wij geven u de meer algemene tips die een adequate beveiliging moeten bieden tegen de meeste bedreigingen.
- Minimaliseren van niet-kritische Network Exposure - Dit is eigenlijk een van de eenvoudigste manieren om aanvallen van hackers te minimaliseren. Dit is ook een van de gemakkelijkste maatregelen die apparaat eigenaren kunnen implementeren. Dit beleid schrijft voor dat alle ongebruikte functies en diensten die de gebruiker geen gebruik mag worden uitgeschakeld. Als het apparaat een niet-kritieke (belangrijke diensten niet afhangen) het kan ook worden uitgeschakeld wanneer deze niet gebruikt. Een goede firewall setup die toegang administrator voorkomt externe netwerken kunnen beschermen tegen brute force aanvallen. Apparaten die belangrijke functies dienen kunnen worden onderverdeeld in een andere zone van het primaire werk of thuisnetwerk.
- Een grondige Setup - Vele inbraak aanvallen worden uitgevoerd door het gebruik van twee populaire methodes - brute force en dictionary-aanvallen. Zij treden tegen de authenticatie mechanismen van de toestellen. Systeembeheerders kunnen een sterk wachtwoord beleid en maatregelen die verdedigen tegen brute force-aanvallen af te dwingen door het toevoegen van intrusion detection systemen. Het gebruik van veilige protocollen is ook een goed idee - VPN en SSH met een behoorlijke beveiligingsconfiguratie.
- beveiligingsupdates - Niet het verstrekken van beveiligingsupdates op de eigendom apparaten is waarschijnlijk een van de grootste problemen die leiden tot aanvallen van hackers. Het is belangrijk om regelmatig updates uit te voeren, Klik om meer te leren.
- Implementeer extra veiligheidsmaatregelen - Wanneer ivd-apparaten worden gebruikt in een bedrijfs- of productie-omgeving zijn er verschillende manieren om de veiligheid te versterken. Deze omvatten penetratie testen, pro-actief netwerkbeheer en analysemethoden.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij:
goed uitgelegd. Bedankt voor het wijzen op CVE-2016-10.401. Erg handig voor mijn thesis. groeten uit Rusland :)
Blij dat we zijn hulp!