Mirai ботнет, състоящ се от интернет на нещата,-устройства и участва в организирането на DDoS-атаки. които по своята мощ счупи всякакви рекорди, а дори доведе до отказ на услуга на целия регион, предизвика смут в медиите. Предвид факта, че изходния код на ботнет са в публичното пространство, както и засилване на тенденцията на "Интернет на нещата" не трябва да очакваме скоро спад на ИН-ботнет.

Материалът е специално подготвени за Securelist

В момента ботнет е все още активен. Ние проведохме проучване на дейността си, за да се разбере как Mirai, какви проблеми тормозят собствениците си и най-важното, какво да се прави в бъдеще не трябва да се превърне в част от него.

Как Mirai

Списъкът на потребителски имена и пароли, които са на оригиналния Mirai-робот използва в търсенето на ИН-чувствителни устройства

Това обаче не е всичко, което е в състояние да ни разкажете за себе си ботнет Mirai.

Анализ botneta дейност

За да се оцени дейността на ботнет Mirai сега разгърне достатъчно място върху Интернет сървър с телнет-порт отворен и анализира опитите за свързване от различни ботове. Така например, в продължение на три минути след нашия сървър се оказа пилотно в мрежата, ние записва първия опит да се свърже с нашия телнет-порт от различни хостове.

Фактът, че тези връзки са направени от ботове оригинален Mirai или негови модификации (т.е. от заразените устройства), две факти показват:

• сметки, използвани от ботове, когато се опитва да се свърже с телнет-порт, въведете оригиналния лист груба ботнет;
• източници на връзката анализ показват, че заразените домакините, на които сканирането в повечето случаи са на ИН-устройства (камери, рутери от различни доставчици).

Примери връзки от заразени работни станции Mirai които извършват търсене на ИН-устройства с пароли по подразбиране

Списък на най-често използваните потребителски имена и пароли за да се свържете с Mirai ботове изглежда така:

Ако ние изхвърлете тривиално комбинацията като «корен: корен» или «администратор: Админ», е възможно да се разбере какво оборудване е интересно ботнет. Например, един чифт «корен: xc3511» «корен: vizxv» е по подразбиране сметка за IP-базирани камери е доста големи китайски производители.

Пример администраторския панел за управление на IP камера, която е включена в ботнет

Как да не станат част от ботнет Mirai

• На всяко устройство да се промени по подразбиране сметка; с паролата на сметката трябва да е с дължина поне 8 знака и да съдържа само цифри, големи букви и специални символи.
• Инсталирана на всяко устройство най-новите актуализации от производителя.
• Желателно е да се затвори достъп от интернет, всички потенциални точки за влизане в операционната система на устройството (Telnet / SSH / уеб панел и т.н.).

Свързани статии

• Нова Toyota Mirai 2018 цена, функции и снимка

• Откъде Mirai разбере как точно ботнет от камери

• Структурата на Mirai на ботнет включва около 120 000 на ИН-устройства