Що за Mirai? Ви про що?
Це троян, про який всі пишуть останні кілька тижнів. З найбільш вражаючих досягнень ботнетів створених за допомогою нього - атака потужністю понад терабіта і відключення інтернету в невеликої африканської країні.
Це ж скільки комп'ютерів він поневолив для цього?
І що, він прям будь камери з холодильниками може захопити?
Не зовсім. Mirai заточений під пристрої, що працюють на базі Busybox - спрощеного набору UNIX-утиліт командного рядка, який використовується в якості основного інтерфейсу у вбудованих операційних системах. Троян атакує тільки певні платформи, наприклад ARM, ARM7, MIPS, PPC, SH4, SPARC і x86. У зоні ризику знаходяться тільки пристрої з заводськими настройками або зовсім слабким захистом - інфікування відбувається за допомогою брутфорс-атаки на порт Telnet, для якого використовується список облікових даних адміністратора за замовчуванням.
Якось неефективно виходить - шукати по всьому інтернету камери без паролів - хіба ні?
У геометричній прогресії? Тобто через рік ботнети міститимуть трильйони пристроїв ?!
Після того, як вихідний код Mirai був викладений у відкритий доступ, все, кому не лінь дуже багато хакерів стали використовувати його. В даний час кількість великих ботнетів на основі цього трояна - близько 52. Варто уточнити, що кожен пристрій може належати тільки до однієї мережі - відразу після захоплення пристрою зловредів забезпечує його захист від повторного зараження. Єдиний випадок, коли пристрій може перейти іншому "власнику" - це перезапуск пристрою. За словами фахівців, після перезапуску пристрій буде заражено знову протягом 30 секунд.
Тобто ефективність Mirai знижується?
Так. Хакери змушені боротися за обмежену кількість ресурсів, яке скоріше скорочується (за рахунок заходів предосторжності), ніж зростає. Ситуацію ускладнює ще те, що хакери на редксоть егоїстичні - так, після великої атаки на Ліберії керуючий сервер (Command and Control, CC) ботнету був просто вимкнений - тепер ботмережа виявилася марною, та й невразливою до нових атак. Кожна нова мережа на основі Mirai буде менше попередніх і зможе здійснювати тільки атаки малої потужності. Наприклад, під час виборів в США були проведені слабкі атаки на сайти Клінтон і Трампа. Вони не завдали ніякої шкоди, і їх взагалі ніхто не помітив (крім компанії, яка спеціально стежить за діями цього трояна).
Зрозуміло. А що ще цікавого відомо про цей троян?
Він є спадкоємцем іншого трояна, який відомий під іменами Gafgyt, Lizkebab, BASHLITE, Bash0day, Bashdoor і Torlus. Останній відомий тим, що зміг підкорити собі близько мільйона веб-камер по оцінці все тієї ж Level 3 Communications. Відомо також, що більшість ботнетів використовують не чисту копію Mirai, а свої, модифіковані версії (що вельми очікувано).
cnc / admin.go: this.conn.Write ([] byte ( "\ 033 [34; 1mпользователь \ 033 [33; 3m: \ 033 [0m"))
cnc / admin.go: this.conn.Write ([] byte ( "\ 033 [34; 1mпароль \ 033 [33; 3m: \ 033 [0m"))
cnc / admin.go: this.conn.Write (append ([] byte ( "\ r \ 033 [37; 1mпроверів рахунки ... \ 033 [31m"), spinBuf [i% len (spinBuf)]))
З іншого боку, це виглядає скоріше як жарт - "перевіривши рахунки ..." явна калька (машинний переклад?) З "checking accounts".
Петро Сокових. транслятор двійкового коду в російську мову