Dois anos após a Mirai criminosos ataque botnet em todo o mundo em todo o mundo estão utilizando-o para vários usos maliciosos. Recentemente especialistas em segurança descobriram que várias novas versões de que foram desenvolvidos. Uma análise aprofundada mostra que os novos lançamentos são o trabalho de hackers independentes não relacionados aos autores originais.
Hackers independentes criam versões atualizadas do Mirai Botnet
o [wplinkpreview url =”https://sensorstechforum.com/mirai-new-variant-port-23-port-2323-cve-2016-10401/”]Mirai botnet foi usado para derrubar milhões de sites por seus desenvolvedores originais, graças à sua capacidade de infectar milhares de dispositivos vulneráveis. Isso levou ao desenvolvimento de motores de botnets alternativos, todos com o objetivo de serem usados como armas que podem alcançar os mesmos resultados de acordo com um novo relatório de segurança. Desde que o código-fonte original de Mirai foi disponibilizado nos fóruns de hackers clandestinos, hackers independentes e coletivos criminosos começaram a desenvolver suas próprias versões. Ao mesmo tempo, os pesquisadores de segurança o usaram para obter informações sobre as operações de ataque e entender como fornecer um mecanismo defensivo funcional.
Uma das novas versões do botnet Mirai foi descoberta em julho 2018. Ele conduzia os pesquisadores de segurança a um link contendo sete variantes diferentes. Todos eles se baseiam no padrão de comportamento original, que é o seguinte:
- Verificando os dispositivos IoT de destino em busca de vulnerabilidades associadas a cargas úteis maliciosas.
- Força bruta nas portas abertas usando credenciais padrão e / ou fracas por meio de protocolos de conexão remota.
- Os dispositivos serão infectados com o código malicioso que contém o botnet principal Mirai. Ele programa o host comprometido para continuar infectando outros dispositivos disponíveis na rede local interna.
- Durante um período de tempo predefinido, o bot se reportará a um comando específico e servidor de controle. Quando solicitado, os dispositivos irão lançar um ataque distribuído de negação de serviço contra um determinado alvo.
Mais informações sobre as novas versões do Mirai Botnet
A análise das versões recém-descobertas do Mirai mostra que elas tiram proveito da estrutura modular. O código-fonte vazado contém instruções, mensagens de instruções e outras informações dando detalhes sobre como eles podem ser ajustados ainda mais.
As seguintes versões foram identificadas:
- Akiru - Mata portas relacionadas com as operações de equipamentos CCTV DVR (81), Roteadores Netis (53413) e acesso Realtek SDK (52869).
- Katrina_V1 - junto com os dispositivos Netis e Realtek, também pode afetar os modelos Huawei HG532 que utilizam a porta 37215.
- Sora - Afeta os mesmos dispositivos que Katrina_V1.
- Saikin - Tem como alvo o ARCO e RCE.
- Owari - Afeta os mesmos dispositivos que Katrina_V1.
- Josho_V3 - Ainda em desenvolvimento.
- Tóquio - Afeta os mesmos dispositivos que Katrina_V1.
Todas essas versões podem ser usadas para causar ataques em grande escala que podem ser tão eficazes quanto o Mirai se o número certo de dispositivos de infraestrutura for recrutado. O fato de haver várias versões do código principal desenvolvido mostra que muitos indivíduos e grupos de hackers continuam a usar este método.