Slik sikrer du ruteren din mot Mirai Botnet-angrep

by
Tweet
Share
Share
Pin
0 Shares

En strategi som brukes av ondsinnede angripere for å skalere opp cyberangrepene sine, er bruken av botnett.

Et botnett er et nettverk av datamaskiner som har blitt infisert av skadelig programvare og er fjernstyrt av en ondsinnet aktør. En slik ondsinnet aktør som kontrollerer en gruppe infiserte datamaskiner kalles en bot-gjeter. Individuelle infiserte enheter blir referert til som bots.

Bot-gjetere kommanderer og kontrollerer gruppen av infiserte datamaskiner, slik at de kan utføre cyberangrep i mye større skala. Botnett har blitt brukt fremtredende i storstilt tjenestenekt, phishing, spam-angrep og datatyveri.

Et eksempel på skadelig programvare som siden har blitt kjent for å kapre digitale enheter for å lage svært store botnett er Mirai Botnet-malware. Mirai er en botnet-skadevare som retter seg mot og utnytter sårbarheter i Internet of Things (IoT)-enheter som kjører Linux.

Ved infeksjon kaprer Mirai IoT-enheten og gjør den til en fjernstyrt bot som kan brukes som en del av et botnett for å starte massive cyberangrep. Mirai ble skrevet med C og GO.

Skadevaren ble fremtredende i 2016 da den ble brukt i et distribuert tjenestenektangrep (DDOS) på DYN, en leverandør av domenenavnsystem. Angrepet forhindret internettbrukere fra å få tilgang til nettsteder som Airbnb, Amazon, Twitter, Reddit, Paypal og Visa, blant andre.

Mirai malware var også ansvarlig for DDOS-angrep på cybersikkerhetssiden Krebs on Security og det franske cloud computing-selskapet OVHCloud.

Hvordan Mirai ble skapt

Mirai malware ble skrevet av Paras Jha og Josiah White, som på den tiden var studenter i begynnelsen av 20-årene og også grunnleggerne av ProTraf Solutions, et selskap som tilbød DDOS-reduksjonstjenester. Mirai Malware ble skrevet med programmeringsspråkene C og Go.

I utgangspunktet var målet deres for Mirai å ta ned konkurrerende Minecraft-servere ved å bruke DDOS-angrep, slik at de kunne få flere kunder ved å gjøre unna konkurrentene.

Bruken deres for Mirai gikk deretter over til utpressing og pengeutpressing. Duoen ville sette i gang DDOS-angrep på selskaper, og deretter kontakte selskapene de hadde angrepet for å tilby DDOS-reduksjoner.

  Alt du trenger å vite om serverløs database

Mirai Botnet fanget oppmerksomheten til myndighetene og nettsikkerhetsmiljøet etter at det ble brukt til å ta ned nettstedet Krebs on Security og dets angrep på OVH. Da Mirai Botnet begynte å skape overskrifter, lekket skaperne kildekoden til Mirai Botnet på et offentlig tilgjengelig hackingforum.

Dette var sannsynligvis et forsøk på å dekke sporene deres og for å unngå å bli holdt ansvarlig for DDOS-angrepene utført ved hjelp av Mirai Botnet. Kildekoden til Mirai Botnet ble tatt opp av andre nettkriminelle, og dette førte til opprettelsen av varianter av Mirai Botnet som Okiru, Masuta og Satori, og PureMasuta.

Skaperne av Mirai Botnet ble imidlertid senere tatt til fange av FBI. De ble imidlertid ikke fengslet og fikk i stedet mildere straffer fordi de samarbeidet med FBI for å fange andre cyberkriminelle og forhindre cyberangrep.

Hvordan Mirai Botnet fungerer

Et angrep fra Mirai Botnet innebærer følgende trinn:

  • Mirai Botnet skanner først IP-adressene på internett for å identifisere IoT-enheter som kjører Linux på Arc-prosessoren. Den identifiserer og målretter deretter mot enheter som ikke er passordbeskyttet eller bruker standardlegitimasjon.
  • Når den har identifisert sårbare enheter, prøver Mirai en rekke kjente standardlegitimasjoner for å prøve å få nettverkstilgang til enheten. Hvis enheten bruker standardkonfigurasjoner eller ikke er passordbeskyttet, logger Mirai på enheten og infiserer den.
  • Mirai Botnet skanner deretter enheten for å finne om den har blitt infisert av annen skadelig programvare. I tilfelle den har det, fjerner den all annen skadelig programvare slik at den er den eneste skadelige programvaren på enheten, noe som gir den mer kontroll over enheten.
  • En Mirai-infisert enhet blir da en del av Mirai Botnet, og den kan fjernstyres fra en sentral server. En slik enhet venter ganske enkelt på kommandoer fra den sentrale serveren.
  • Infiserte enheter brukes deretter til å infisere andre enheter eller brukes som en del av et botnett for å utføre store DDOS-angrep på nettsteder, servere, nettverk eller andre ressurser tilgjengelig på internett.
    •   Remo MORE er et strålende verktøy for desktop- og mobiloptimalisering for noobs

    Det er verdt å merke seg at Mirai Botnet kom med IP-områder det ikke målrettet mot eller infiserte. Dette inkluderer private nettverk og IP-adresser tildelt USAs forsvarsdepartement og United States Postal Service.

    Typer enheter målrettet av Mirai Botnet

    Det primære målet for Mirai Botnet er IoT-enheter som bruker ARC-prosessorer. I følge Paras Jha, en av forfatterne av Mirai-boten, var de fleste av IoT-enhetene infisert og brukt av Mirai Botnet rutere.

    Listen over potensielle ofre for Mirai Botnet inkluderer imidlertid andre IoT-enheter som bruker ARC-prosessorer.

    Dette kan inkludere smarte hjemmeenheter som sikkerhetskameraer, babymonitorer, termostater og smarte TV-er, bærbare enheter som treningsmålere og klokker, og medisinske IoT-enheter som glukosemonitorer og insulinpumper. Industrielle IoT-enheter og medisinske IoT-enheter som bruker ARC-prosessorer kan også bli ofre for Mirai-botnettet.

    Hvordan oppdage en Mirai Botnet-infeksjon

    Mirai Botnet er designet for å være snikende i angrepet, og det er derfor ingen enkel oppgave å oppdage at IoT-enheten din er infisert med Mirai Botnet. Imidlertid er det ikke lett å oppdage. Se imidlertid etter følgende indikatorer som kan signalisere en mulig Mirai Botnet-infeksjon på IoT-enheten din:

    • Senket internettforbindelse – Mirai botnet kan føre til at internett går tregere ettersom IoT-enhetene dine brukes til å starte DDOS-angrep.
    • Uvanlig nettverkstrafikk – Hvis du regelmessig overvåker nettverksaktiviteten din, kan du merke en plutselig økning i nettverkstrafikk eller forespørsler som sendes til ukjente IP-adresser
    • Redusert enhetsytelse – IoT-enheten din som yter suboptimalt eller viser uvanlig oppførsel, som å slå av eller starte på nytt på egen hånd, kan være en indikator på en mulig Mirai-infeksjon.
    • Endringer i enhetskonfigurasjoner – Mirai Botnet kan gjøre endringer i IoT-enhetenes innstillinger eller standardkonfigurasjoner for å gjøre enhetene enklere å utnytte og kontrollere i fremtiden. I tilfelle du oppdager endringer i konfigurasjonene til IoT-enhetene dine, og du ikke er ansvarlig for dem, kan det peke på en mulig Mirai Botnet-infeksjon.

    Selv om det er tegn du kan passe på for å vite om enheten din har blitt infisert, kan det til tider ikke være lett å legge merke til dem fordi Mirai Botnet er laget på en slik måte at det er svært vanskelig å oppdage dem. Som et resultat er den beste måten å håndtere det på å forhindre Mirai Botnet fra å infisere IoT-enhetene dine.

      Hvordan lage et Google-skjema med forgreningslogikk

    Men i tilfelle du mistenker at en IoT-enhet har blitt oppdaget, koble den fra nettverket og koble enheten først til igjen etter at trusselen er eliminert.

    Slik beskytter du enhetene dine mot Mirai Botnet-infeksjon

    Mirai Botnets nøkkelstrategi for å infisere IoT-enheter er å teste en haug med velkjente standardkonfigurasjoner for å se om brukerne fortsatt bruker standardkonfigurasjonene.

    Hvis det er tilfelle, logger Mirai på og infiserer enhetene. Derfor er et viktig skritt for å beskytte IoT-enhetene dine mot Mirai Botnet å unngå bruk av standard brukernavn og passord.

    Sørg for å endre påloggingsinformasjonen din og bruk passord som ikke lett kan gjettes. Du kan til og med bruke en tilfeldig passordgenerator for å få unike passord som ikke kan gjettes.

    Et annet skritt du kan ta er å jevnlig oppdatere enhetens fastvare og også installere sikkerhetsoppdateringer hver gang de utgis. Bedrifter slipper ofte sikkerhetsoppdateringer i tilfelle det oppdages sårbarheter i enhetene deres.

    Derfor kan det å installere sikkerhetsoppdateringer hver gang de utgis hjelpe deg med å ligge i forkant av angripere. Hvis IoT-enheten din har ekstern tilgang, bør du vurdere å deaktivere den også, i tilfelle du ikke trenger den funksjonaliteten.

    Andre tiltak du kan ta inkluderer regelmessig overvåking av nettverksaktiviteten din og segmentering av hjemmenettverket slik at IoT-enheter ikke er koblet til kritiske nettverk hjemme.

    Konklusjon

    Selv om skaperne av Mirai Botnet ble pågrepet av myndighetene, vedvarer risikoen for Mirai Botnet-infeksjon fortsatt. Mirai Botnet-kildekoden ble gitt ut til offentligheten, og dette førte til opprettelsen av dødelige varianter av Mirai Botnet, som retter seg mot IoT-enheter og har mer kontroll over enhetene.

    Derfor, mens du kjøper IoT-enheter, bør sikkerhetsfunksjonene som tilbys av produsenten av enheten være en nøkkelfaktor. Kjøp IoT-enheter som har sikkerhetsfunksjoner som forhindrer mulig skadelig programvare.

    Unngå i tillegg å bruke standardkonfigurasjoner på enhetene dine og oppdater enhetens fastvare regelmessig og installer alle de nyeste sikkerhetsoppdateringene hver gang de utgis.

    Du kan også utforske de beste EDR-verktøyene for å oppdage og svare på nettangrep raskt.