Media szeroko donosiły o botnecie Mirai, który składał się z urządzeń IoT i był wykorzystywany w atakach DDoS przeprowadzonych na rekordowo dużą skalę, powodując odmowę usługi w całym regionie. Zważywszy na to, że kod źródłowy botnetu został upubliczniony, a trend dotyczący Internetu Rzeczy staje się coraz wyraźniejszy, w najbliższej przyszłości nie należy spodziewać się spadku aktywności związanej z botnetem IoT.
Aby osadzić temat w perspektywie, należy przypomnieć sobie rok 2012, gdy został upubliczniony kod źródłowy trojana bankowego Zeus. W efekcie pojawiła się ogromna liczba modyfikacji tego trojana, z których wiele nadal jest aktywnych i zalicza się do najbardziej rozpowszechnionego szkodliwego oprogramowania finansowego. Podobnie, ostatni wyciek może spowodować pojawienie się modyfikacji Mirai, stworzonych przez cyberprzestępców i oparych na upublicznionym kodzie źródłowym.
Botnet nadal jest aktywny. Przeprowadziliśmy analizę jego aktywności, aby przekonać się, jak działa Mirai, jakie cele chcą zrealizować jego właściciele i – co najważniejsze – co należy zrobić, aby w przyszłości nie stać się częścią botnetu.
Jak działa Mirai
W oparciu o kod źródłowy botnetu, który został opublikowany na forum użytkowników, wiadomo, że Mirai składa się z następujących komponentów:
Istotną cechą sposobu skanowania urządzeń przez botnet Mirai jest wykorzystywanie przez bota słownika loginów i haseł podczas próby połączenia się z urządzeniem. Autor oryginalnego botnetu Mirai załączył stosunkowo niewielką listę loginów i haseł umożliwiających łączenie się z różnymi urządzeniami. Jednak od tego czasu lista ta została znacznie rozszerzona dzięki dodaniu domyślnych loginów i haseł dla różnych urządzeń IoT, co wskazuje na istnienie licznych modyfikacji bota.
Lista loginów i haseł wykorzystywanych przez oryginalny botnet Mirai podczas poszukiwania podatnych na ataki urządzeń IoT
To jednak nie wszystko, czego możemy dowiedzieć się o botnecie Mirai.
Aby ocenić obecną aktywność botnetu Mirai, wystarczy wdrożyć serwer z otwartym portem telnet w Internecie i przeanalizować próby połączeń dokonywane przez różne boty. Na przykład, pierwsze próby połączenia się z naszym portem telnet przez kilka różnych hostów wykryliśmy w ciągu trzech minut od momentu aktywowania online naszego eksperymentalnego serwera.
Dwa fakty wskazują na to, że połączenia te są dokonywane przez boty z oryginalnego botnetu Mirai lub jego modyfikacji (tj. przez zainfekowane urządzenia):
Próby połączeń dokonywane przez zainfekowane stacje robocze w ramach botnetu Mirai podczas poszukiwania urządzeń IoT przy użyciu haseł domyślnych
Poniżej znajduje się lista par loginów i haseł najczęściej wykorzystywanych przez boty Mirai podczas prób połączeń:
kombinacje „Login:hasło” |
|
1 |
admin : admin |
2 |
root : xc3511 |
3 |
root : vizxv |
4 |
root : juantech |
5 |
root : default |
6 |
admin : admin1234 |
7 |
root : password |
8 |
root : root |
9 |
root : xmhdipc |
10 |
admin : smcadmin |
Jeśli zignorować trywialne kombinacje takie jak “root:root” czy “admin:admin”, stosunkowo dobrze widać, jakiego sprzętu szuka botnet. Na przykład, pary “root:xc3511” i “root:vizxv” to domyślne konta kamer IP stworzonych przez dość dużych chińskich producentów.
Panel administracyjny do zarządzania kamerą IP, która jest częścią botnetu
Jeżeli chodzi o aktywność samego botnetu, można przeanalizować liczbę prób zalogowania się w ciągu 24 godzin i przekonać się samemu. 13 grudnia 2016 r. zarejestrowaliśmy 5 553 próby połączenia się z naszym serwerem przez boty Mirai, podczas gdy 10 dni wcześniej, 3 grudnia 2016 r., odnotowaliśmy 8 689 takich prób. Czy to znaczy, że botnet traci moc? Zmniejszona aktywność związana z poszukiwaniem nowych potencjalnych botów z pewnością może wskazywać na spadek tempa infekowania nowych urządzeń przez Mirai, jest jednak zbyt wcześnie, aby wyciągnąć jakiekolwiek wnioski.
Zalecamy następujące działania pozwalające zapobiec włączeniu urządzeń do botnetu Mirai:
Więcej szczegółów odnośnie botnetu Mirai jest dostępnych dla subskrybentów raportów w ramach usługi Kaspersky Intelligence Services. Aby uzyskać dalsze informacje, należy skontaktować się pod adresem intelreports@kaspersky.com.
Analizy
Blog