Mirai ботнет, състоящ се от интернет на нещата,-устройства и участва в организирането на DDoS-атаки. които по своята мощ счупи всякакви рекорди, а дори доведе до отказ на услуга на целия регион, предизвика смут в медиите. Предвид факта, че изходния код на ботнет са в публичното пространство, както и засилване на тенденцията на "Интернет на нещата" не трябва да очакваме скоро спад на ИН-ботнет.
Материалът е специално подготвени за Securelist
В момента ботнет е все още активен. Ние проведохме проучване на дейността си, за да се разбере как Mirai, какви проблеми тормозят собствениците си и най-важното, какво да се прави в бъдеще не трябва да се превърне в част от него.
Как Mirai
Списъкът на потребителски имена и пароли, които са на оригиналния Mirai-робот използва в търсенето на ИН-чувствителни устройства
Това обаче не е всичко, което е в състояние да ни разкажете за себе си ботнет Mirai.
Анализ botneta дейност
За да се оцени дейността на ботнет Mirai сега разгърне достатъчно място върху Интернет сървър с телнет-порт отворен и анализира опитите за свързване от различни ботове. Така например, в продължение на три минути след нашия сървър се оказа пилотно в мрежата, ние записва първия опит да се свърже с нашия телнет-порт от различни хостове.
Фактът, че тези връзки са направени от ботове оригинален Mirai или негови модификации (т.е. от заразените устройства), две факти показват:
- сметки, използвани от ботове, когато се опитва да се свърже с телнет-порт, въведете оригиналния лист груба ботнет;
- източници на връзката анализ показват, че заразените домакините, на които сканирането в повечето случаи са на ИН-устройства (камери, рутери от различни доставчици).
Примери връзки от заразени работни станции Mirai които извършват търсене на ИН-устройства с пароли по подразбиране
Списък на най-често използваните потребителски имена и пароли за да се свържете с Mirai ботове изглежда така:
Ако ние изхвърлете тривиално комбинацията като «корен: корен» или «администратор: Админ», е възможно да се разбере какво оборудване е интересно ботнет. Например, един чифт «корен: xc3511» «корен: vizxv» е по подразбиране сметка за IP-базирани камери е доста големи китайски производители.
Пример администраторския панел за управление на IP камера, която е включена в ботнет
Как да не станат част от ботнет Mirai
- На всяко устройство да се промени по подразбиране сметка; с паролата на сметката трябва да е с дължина поне 8 знака и да съдържа само цифри, големи букви и специални символи.
- Инсталирана на всяко устройство най-новите актуализации от производителя.
- Желателно е да се затвори достъп от интернет, всички потенциални точки за влизане в операционната система на устройството (Telnet / SSH / уеб панел и т.н.).
Свързани статии