Вредонос эксплуатирует свыше двадцати известных уязвимостей в различных сетевых устройствах.
Ботнет Mirai, который использует уязвимости в сетевых устройствах для проведения масштабныхDDoS-атак, получил новую модификацию. Эксперты из компанииPalo Alto Networksобнаружили две кампании, направленные на заражение различных устройств от D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear и MediaTek.
Ботнет Mirai — это вредоносное программное обеспечение, которое превращает рядовые сетевые устройства в удалённо управляемые «зомби». Эта сеть, называемая ботнетом, часто используется для проведения DDoS-атак (распределенный отказ в обслуживании), при которых целевой сайт или сервер перегружается большим количеством запросов и становится недоступным.
Ботнет Mirai был впервые обнаружен в августе 2016 года группой исследователейMalwareMustDieи с тех пор использовался в некоторых из самых мощных и разрушительных DDoS-атаках, включая атаку на сайт журналиста по кибербезопасности Брайана Кребса, французского хостинг-провайдера OVH и компанию Dyn, занимающуюся регистрацией доменных имен.
Вновом отчётеэкспертыUnit 42предупреждают, что разработчикиботнетапродолжают добавлять код для эксплуатации уязвимостей в различных подключенных продуктах, таких как роутеры, DVR-устройства (цифровые видеорегистраторы), NVR-устройства (сетевые видеорегистраторы), WiFi-адаптеры, термальные мониторы, системы контроля доступа и солнечные панели.
Ниже приведен полный список уязвимостей и продуктов, на которые нацелено вредоносное ПО в последней версии:
Таблица эксплуатируемых уязвимостей
Атака начинается с того, что ботнет использует одну из упомянутых выше уязвимостей, создавая условия для выполнения оболочки скрипта из внешнего ресурса. Этот скрипт загружает клиент ботнета, соответствующий архитектуре зараженного устройства. Ботнет поддерживает 13 различных архитектур: armv4l, arm5l, arm6l, arm7l, mips, mipsel, sh4, x86_64, i686, i586, arc, m68k и sparc.
После выполнения клиента ботнета скрипт-загрузчик удаляет файл клиента, чтобы стереть следы заражения и снизить вероятность обнаружения. По сравнению со стандартными вариациями Mirai, этот напрямую обращается к зашифрованным строкам в секции «.rodata» через индекс вместо того, чтобы настраивать таблицу строк для получения конфигурации клиента ботнета. Этот подход обходит инициализацию зашифрованной таблицы строк, придавая вредоносному ПО скорость и скрытность и делая его менее подверженным обнаружению средствами безопасности.
Эксперты также отмечают, что этот вариант Mirai не имеет возможности подбирать логины и пароли для входа в telnet/SSH, поэтому его распространение полностью зависит от ручной эксплуатации уязвимостей.
Для снижения риска заражения рекомендуется устанавливать последние обновления прошивки, доступные от производителя устройства, менять пароли доступа с заводских на уникальные и сильные, а также отключать удалённый доступ к панели администратора из Интернета, если он не нужен.
Признаками заражения ботнетом могут быть чрезмерный нагрев устройства, изменение настроек/конфигурации, частые отключения и общее снижение производительности.