По суті, Mirai працює просто: він сканує інтернет в пошуках уразливих для брутфорса і злому IoT-пристроїв, доступних через telnet. Малваре вражає переважно камери спостереження, DVR і роутери, а потім продовжує розмножуватися, подібно хробакові.
Від DDoS-атак, здійснених цим ботнетом недавно постраждав журналіст Брайан Кребс і найбільший в Європі хостинг-провайдер OVH. Пікова потужність атак досягала 620 Гбіт / с і більше 1 Тб / с. Щоб домогтися таких результатів зловмисники використовували UDP-, DNS- і HTTP-флуд, а також пакети GRE (Generic Routing Encapsulation), що експерти визнали вельми незвичайним.
Тепер фахівці MalwareTech вивчили роботу трояна і пов'язаного з ним ботнету і представили звіт в своєму блозі. Для дослідження експерти підняли 500 серверів-пасток, емулює вразливі IoT-девайси, і зібрали з них статистику. За їх словами, оцінки інших фахівців були вірні. Так, раніше представники OVH писали, що атакував їх сервери ботнет нараховує 145 607 камер і здатний генерувати атаки потужністю до 1,5 Тб / с, використовуючи tcp / ack, tcp / ack + psh і tcp / syn.
This botnet with 145607 cameras / dvr (1-30Mbps per IP) is able to send> 1.5Tbps DDoS. Type: tcp / ack, tcp / ack + psh, tcp / syn.
«Mirai, який практично все ігнорували раніше, в силу простоти telnet-атак, минулого тижня став чи не головним предметом обговорення в ЗМІ по всьому світу, а правоохоронні органи почали розслідування, за підтримки багатьох міжнародних компаній», - пишуть дослідники. - «Досить імовірно, що тепер потужні DDoS-атаки стануть більш поширеною практикою, так як хакери будуть знаходити все більше і вразливих IoT-пристроїв або почнуть заражати пристрої, захищені NAT. Виробникам виразно пора припинити випускати пристрої з глобальними паролями за замовчуванням і переключитися на випуск пристроїв з випадково згенерували паролями, вказуючи їх на нижній частині корпусу ».
Поділися новиною з друзями:
- 24 хвилини тому