niedziela, 21 kwietnia, 2024
32 220 35 21biuro@omegasoft.pl
spot_img
Strona głównaAktualnościOdmiany Mirai i cyberprzestępca w tle

Odmiany Mirai i cyberprzestępca w tle

Sprawa Mirai była w środowisku powszechnie znana. Dzisiaj botnety to zabawki dla przysłowiowych dzieciaków skryptowych. W roku 2016 Twitter, Spotify oraz CNN zostało wyłączonych poprzez największy hakerski atak DDoS. To był właśnie Mirai. Wówczas nikt nie wyobrażał sobie, że to atak stały urządzenia Internetu włączone do botnetu. Mirai był odkryty przez pracowników MalwareMustDie w sierpniu 2016 roku. Nie było to pierwsze złośliwe oprogramowanie, jakie zostało odkryte. Było jednak bardzo brzemienne w skutkach. Gdy wyłączono większą część Internetu na Wschodzie USA, to sprawy uległy pogorszeniu. Autor złośliwego oprogramowania – Anna-Senpai, dokonał opublikowania kodu źródłowego. Od tego momentu wielu hakerów na świecie zaczęło używać go, jako pomocy do tworzenia własnych botnetów. Twórcy tego oprogramowania zostali schwytani i poddani aresztowi. Ujawniony kod przyspieszyło powstanie następnych botnetów. Ponadto też pojawiły się nowe odmiany botnetów z nowymi funkcjami. Wykorzystuje się luki w zabezpieczeniach, które nie są chronione urządzeniami IoT.

Od sprawy Mirai minęło sporo czasu. Nowe odmiany wciąż dają się we znaki. Niedoświadczeni hakerzy modyfikują w oryginalnym kodzie Mirai, by następnie go wdrażać i tworzyć nowe botnety. W niektórych sytuacjach oferowane są usługi hakerów jako najemników botnetowych.

Doskonały przykład

Doskonałym przykładem jest cyberprzestępca z lipca 2018 roku. Pojawiły się nowe odmiany Mirai. Nastał czas powszechnych dyskusji o bezpieczeństwie. Zauważono, że pracownicy badający popełnili błąd przy klasyfikacji opcji Mirai. Pracownik udostępnił link ze źródłowym kodem siedmiu odmianom Mirai. To zmotywowało do pobrania kodu źródłowego, aby sklasyfikować owych siedem odmian Mirai. Chciano poznać czy różnią się one od głównego Mirai.

Czym jest Mirai?

Żeby zauważyć różnice przy odmianach Mirai, należy podsumować sposób działania Mirai. Oryginalny kod Mirai działa w następujący sposób:

  • następuje skanowanie Internetu, aby poszukać urządzeń IoT, które są podatne na atak,
  • należy spróbować pozyskać dostęp poprzez atak siłowy przy użyciu kilkunastu dosyć słabych domyślnych poświadczeń. Tu wykorzystuje się protokół Telnet,
  • następnie pomyślnie zainfekowane jest urządzenie, które jednocześnie też staje się integralną częścią botnetu. Następuje szukanie podatnych urządzeń w tej samej sieci, by w dalszej kolejności przeprowadzić siłowy atak siłowy.

Z uwagi na to, że większość rodzajów stanowią naśladowcy oryginału kodu Mirai, to tym samym posiadają one bardzo podobną strukturę kodu. Składają się one z trzech części:

  • bota,
  • serwera sterującego,
  • modułu ładującego.

Część bota powstała w języku C, natomiast moduł serwera sterującego w języku Go.

Odmiany Mirai

Tutaj skupiamy się na takich odmianach MIrai jak: Akiru, Katrina_V1, Sora, Owari, Saikin, Josho_V3 i Tokyo. Ponadto też mowa jest o trzech modułach w katalogu bot:

  • informacje konfiguracyjne,
  • lista poświadczeń stosowanych przy skanowaniu. Owo skanowanie służy do wykrywania podatnych urządzeń,
  • mamy tu też funkcję wysyłania raportu z prowadzonego skanowania do modułu ładującego,
  • informacje zawierające dane o tym, które procesy powinny być wyłączone.

Analiza odmian Mirai— co jest zawarte w nazwie?

Kod Mirai jest szkieletem. Każda osoba, która znajdzie sposób wykorzystania danego urządzenia, może dodać go do stworzonego szablonu. Tworzy w ten sposób nową odmianę Mirai. Kluczowe dane w botnetach są nazewnictwem oraz wypróbowywanym poświadczeniem. Stanowią one przedmiot ataku. Całą architektura, jak również porty są wyłączane, aby uniemożliwić innemu złośliwemu kodowi zdobycia urządzenia. Żeby móc poznać różnice pomiędzy odmianami, należy je porównać. Wszystkie odmiany Mirai posiadają stosowną implementację swojego ciągu kontrolnego odnoszącego się do pomyślnego wykonania. Przeważająca większość owych ciągów kontrolnych odpowiada w pełni nazwie określonego wariantu. Mamy też kilka wyjątków. Przykładem jest odmiana Tokyo, która ma domyślny ciąg kontrolny Mirai. Inny przykład to odmiana Sora, która nie ma nazwy, a przykładowo odmiana Josho_V3 ma zupełnie inną nazwę.

Kombinacje poświadczeń

W oryginale Mirai użytych zostało 62 haseł. To miało na celu przeprowadzanie ataku siłowego na urządzenia IoT. Lista ta jest sprytnie zamaskowana, a można ją odkodować jedynie przy pomocy klucza DEADBEEF. Odmiany Mirai wskazują na to,że lista haseł jest zmienna w zależności od poszczególnych botów. Pobrano oraz zdekodowano wszystkie używane hasła używane odnoszące się do wszystkich odmian. Miało to na celu pozyskanie informacji czy hasła te pochodzą z kodu Mirai oraz czy pokrywają się z listą. Największą listę haseł stwierdzono dla odmiany Saikin. Posiada ona 80 pozycji, a tylko 4 pokrywają się z oryginałem Mirai. Nastawiając się na implementację haseł z innej listy, przeprowadzający atak obiera na cel całkiem inne urządzenia IoT.

Nowe porty

Tak jak w przypadku Mirai, wszelkie odmiany posiadsają moduł killer.c. Realizuje on kilka zadań jednocześnie. Eliminuje wszystkie złośliwe oprogramowania, które działają na urządzeniu. Ponadto uniemożliwia innym zdalny dostęp do urządzenia poprzez Telnet, SSH albo HTTP. Wedle analizy porty standardowo zabijane przez Mirai (z wyjątkiem Saikin i Josho_V3) są dodawane do listy zabijania. Są to następujące porty:

  • – port 53413 związany z routerami Netis,
  • port 37215 związany z routerami Huawei HG532,
  • port 52869 dotyczący usługi SOAP UPnP (zestaw Realtek SDK),
  • port 81 odnoszony do kamer CCTV-DVR.

Dodanie portów daje autorowi botnetu możliwość łączenia się z dużo większą liczbą urządzeń. Jednocześnie też zapobiega zdalnemu połączeniu innych osób z tymi urządzeniami.

Nowe architektury

Wszystkie przedstawione odmiany Mirai celują w  te same architektury co Mirai. Trzy z nich, a mianowicie Sora, Saikin i Akiru dokładają dwie nowe architektury. Są to ARC (Argonaut RISC Core) jak również RCE (Motorola RCE). Badając kod Mirai oraz jego odmiany, zapytano, kto stoi za poszczególnymi odmianami. Zapytano też do kogo należy Twitterowskie konto, z którego udostępniono kody. przeglądając kody, analizując je, przedstawiono, iż kody te miały potencjał do znacznego wyrządzenia szkód. Żadna odmiana nie różniła się mocno od oryginału kodu źródłowego Mirai. Wykorzystane zostały tu zalety modularnej architektury Mirai, aby móc łamać zabezpieczenia nowych urządzeń. Do tego również po to, aby móc konfigurować postawę obronną w tych urządzeniach. Nie było to nic nowego. To natomiast, co zainteresowało, to znacznie lepsze poznanie tajników pracy twórcy. Kim jest autor?

Na początku podejrzewano, że osoba ta (twitterowy identyfikator 400kQBOT) jest znaną  postacią w świecie zagrożeń. Podejrzewano, że to twórca programu  o nazwie Owari/Sora, nazywany Anarchy. Jednakże googlowanie zmieniło spojrzenie na tę sprawę. Znaleziono inny katalog, który zawierał kod źródłowy odmian Mirai. Był on niemal identyczny jak próbki opublikowane przez 400kQBot. Wśród źródeł odmian Mirai. wśród kompilatorów oraz samouczków kompilacji źródłowego kodu Mirai znaleziono plik tekstowy. Autor widniał, jako Scarface#1162. Miał on też kanał YouTube, gdzie demonstrowała swe umiejętności –  przejmowała botnety innych niedoświadczonych osób. W pewnym materiale pokazano jak przejmowany jest botnet Akiru, by następnie poinformować jego autora Wicked. Prócz pseudonimu Wicked jest jeszcze znajoma nazwa – Anarchy. Zatem Wicked i Anarchy to niekoniecznie ta sama osoba. Podejrzenia, iż 400kQbot oraz Scarface to ta sama osoba znalazły swoje potwierdzenie w połowie września.

Gdy Mirai atakuje komputer, używa pewnego ciągu kontrolnego. Jest to potwierdzenie dla  pomyślnego ukończenia określonych sekwencji poleceń. Nie posiadamy pełnych informacji, jakim sposobem Scarface zyskał dostęp do odmian. Nie można potwierdzić, że jest on autorem. Jedna z odmian –  Josho_V3, posiada znacznie inny ciąg kontrolny pomyślnego wykonania. Jest to daddyl33t. Daddyl33t to pewien 13-latek, który szukał pracy freelancera w programowaniu. Próbował szlifować umiejętności, podnosić kwalifikacje w zakresie skryptów poprzez kompilowanie botnet QBot. 13-letni dzieciak jest także częścią zespołu, który zarabia pieniądze razem z Wicked i Anarchy. Przypuszczalnie wszyscy oni stanowią jedną i tę samą osobę. Szukanie tożsamości dla anonimowego konta na Twitterze oraz Discordzie oparło się na spekulacjach. Może nie to jest najważniejsze, ale daje pewne wskazówki. Tak łatwo można stworzyć różne odmiany botnetu przy dostępie do publicznego kodu. Można go rozpowszechniać, aby zarobić i aby móc być sławnym.

Mirai to zagrożenie

Bardzo łatwo można mnożyć różne odmiany Mirai korzystając z upublicznionego kodu źródłowego. Spotyka się wielu początkujących cyberprzestępców, którzy zarabiają w ten sposób. Botnet jest wszechstronne narzędziem. Można go użyć na początku ataku DDoS. Można też wykorzystać go i przejąć urządzenia jako koparki kryptowalut. Wszyscy korzystamy z nowych technologii, ale bardzo łatwo można i można ulec  złośliwemu oprogramowaniu. Każdy może wziąć szablon Mirai, by następnie dodać hasła, wymyślić nazwę botnetu i rozpocząć infekowanie dla zysku.

Odmiany botnetu są tworzone codziennie. Każda kolejna odmiana coraz bardziej przejmuje kontrolę nad urządzeniami. Nieliczne komputery można zaktualizować bądź zabezpieczyć przed zwerbowaniem do botnetów. Blokując laptopy, zostawiono otwarte drzwi do sieci osobistych. To wszystko przez słabo zabezpieczone urządzenia IoT. Jeśli używamy routera w domu, biurze domowym lub w jakimkolwiek innym miejscu, możemy podjąć pewne kroki, żeby chronić sieć:

  • możemy zmieniać domyślne hasła administratora dla routera oraz wszystkich urządzeń IoT od razu,
  • możemy dbać o regularną instalację najnowszych aktualizacji,
  • ponadto też wyłączyć zdalne zarządzanie przy ustawieniach routera.
PODOBNE ARTYKUŁY

Popularne artykuły

Recent Comments

komputerowiec z sacza on KTO CHCE NADGRYŹĆ JABŁKO?