Uma nova variante do Mirai pouco antes do Natal? Certo, Por que não!
Qihoo 360 pesquisadores NETlab apenas testemunhado nova uptick enquanto o rastreamento botnet atividade associada a uma nova variante do bem conhecido malwares Mirai Internet das coisas. Os usuários devem estar cientes de que as portas 23 e 2323 em IdC dispositivos fabricados por ZyXEL Communications são segmentados. Os dispositivos são conhecidos por estar usando padrão admin / CentryL1nk e admin / credenciais telnet Qwestm0dem, pesquisadores relataram.
Sobre 60 horas atrás, Desde a 2017-11-22 11:00, notamos grandes upticks na porta 2323 e 23 tráfego de varredura, com quase 100k IP do scanner única vieram da Argentina. após investigação, estamos bastante confiantes para dizer esta é uma nova variante Mirai.
A equipe de pesquisa observou duas novas credenciais – admin / CentryL1nk e admin / QwestM0dem - em seu tráfego honeypot. Pelo visto, as duas portas são actualmente utilizados de uma forma activa. Deve-se notar que administrador credencial / CentryL1nk foi apareceu pela primeira vez numa exploração sobre modem ZyXEL PK5001Z em explorar-db menos de um mês atrás.
Mirai surgiu no ano passado, quando começou a se espalhar e afetar os dispositivos da Internet das coisas acessá-las através de senha padrão e nomes de usuário. dispositivos afetados foram incluídos em um botnet que foi implantado para ataques distribuídos de negação de serviços (DDoS). provedor de DNS Dyn foi uma das maiores vítimas levando a ataques contra plataformas populares como Twitter e Netflix.
Em fevereiro deste ano, a botnet foi ainda equipado com uma variante do Windows, Trojan.Mirai.1, como revelado por pesquisadores de segurança para o Dr.. Rede. A nova variante alvo o Windows e pode comprometer mais portas do que suas contrapartes Linux. Trojan.Mirai.1 também estava infectando dispositivos da Internet das coisas e realizar ataques DDoS, Tal como acontece com a versão Linux.
Como já mencionado, ataques atuais estão tirando vantagem de duas novas credenciais (admin / CentryL1nk e admin / QwestM0dem). Pelo visto, hackers automatizado com sucesso o processo de exploração madeireira em dispositivos ZyXEL via credenciais telnet. Uma vulnerabilidade codificada disco separado superusuário identificado como CVE-2016-10401 também foi aproveitado para privilégios de raiz de ganho sobre os dispositivos alvo.
Detalhes sobre CVE-2016-10401
dispositivos ZyXEL PK5001Z tem zyad5001 como a senha su, o que torna mais fácil para os atacantes remotos para obter acesso root, se uma senha de conta não-root é conhecido (ou existe uma conta padrão não-raiz no prazo de implantação de um ISP destes dispositivos).
Os investigadores têm vindo a observar uma tendência problemática envolvendo os atacantes exploram ativamente detalhes divulgados publicamente desta exploração desde que foi lançado pela primeira vez em outubro.
Qihoo 360 pesquisadores relataram que a exploração das duas credenciais acima mencionados começou em novembro de 22. A equipe detectou que a maior parte do tráfego de IP do scanner veio da Argentina, com aproximadamente 65.7 mil scanners únicos em menos de um dia.
Esta não é a primeira vez engrenagem ZyXEL fica comprometida
Alguns meses atrás, pesquisador Stefan Viehbock informou que routers WiMAX criados por ZyXEL eram suscetíveis a um desvio de autenticação que poderia permitir que um ator malicioso para alterar a senha do usuário admin, obter acesso ao dispositivo alvejado ou mesmo da própria rede.
outro pesquisador, Pedro Ribeiro, deparei com contas de administrador acessíveis e falhas de injeção de comando em roteadores fabricados pela ZyXEL e distribuído pela TrueOnline, ou a maior empresa de banda larga na Tailândia.
Como proteger seus dispositivos de Internet das coisas – algumas dicas úteis
Existem várias diretrizes que todos os proprietários de dispositivos da Internet das coisas deve seguir para proteger suas redes e hosts de intrusões maliciosos e outras ameaças à segurança. Estas medidas não requerem grandes quantidades de tempo que é muitas vezes levantada como uma razão para não empregar todas as medidas. Dependendo do ambiente, pode haver algumas diferenças na escala de mudanças de configuração. Não obstante, estamos a dar-lhe as dicas mais gerais que devem fornecer segurança adequada contra a maioria das ameaças.
- Minimizar a exposição da rede Non-Critical - Esta é realmente uma das maneiras mais simples para minimizar ataques de hackers. Esta é também uma das medidas mais fáceis que os proprietários de dispositivos podem implementar. Este mandatos políticos que todos os recursos e serviços não utilizados que o usuário não usa deve ser desligado. Se o dispositivo é um não-crítico (serviços importantes não dependem dele) ele também pode ser desligado quando não estiver em uso. Uma boa configuração de firewall que o acesso do administrador impede de redes externas pode proteger contra ataques de força bruta. Dispositivos que servem funções importantes podem ser segmentados em outra zona do trabalho principal ou rede doméstica.
- A configuração completa - Muitos ataques de intrusão são realizadas usando dois métodos populares - a força bruta e dicionário ataques. Eles agem contra os mecanismos de autenticação dos aparelhos. Os administradores de sistema podem aplicar uma política de senha forte e medidas que se defender contra ataques de força bruta, adicionando sistemas de detecção de intrusão. Usando protocolos seguros também é uma boa idéia - VPN e SSH com uma configuração de segurança adequada.
- Atualizações de segurança - Não fornecer atualizações de segurança para os aparelhos de propriedade é provavelmente um dos maiores problemas que levam a ataques de intrusão. É importante realizar atualizações regulares, Clique para aprender mais.
- Implementar medidas de segurança adicionais - Quando os dispositivos da Internet das coisas são usados em um ambiente corporativo ou de produção, existem várias maneiras para reforçar a segurança. Estes incluem testes de penetração, métodos de gerenciamento de rede pró-ativa e análise.
bem explicado. Obrigado por apontar CVE-2016-10401. Muito útil para a minha tese. olá da Rússia :)
Feliz por estarmos de ajuda!