Mirai может подойти к машине с Windows рядом с вами
В то время, когда IoT находится на подъеме и становится обычным явлением как на предприятиях, так и дома, подобные вредоносные программы вызывают серьезную озабоченность. Попробуем разобраться, как работает Mirai и что можно сделать, чтобы не стать жертвой такой атаки.
Устройства и их пользователи значительно упрощают атаки
Множество устройств подключаются как к общедоступным, так и к частным сетям по всему миру. Эти устройства могут подключаться и обеспечивать доступ ко многим потребительским и бизнес-сетям, особенно если они не защищены должным образом. Все больше и больше устройств IoT теперь находят место в наших домах. Этими устройствами могут быть, среди прочего, маршрутизаторы, светильники, камеры, дверные замки (любое «умное» устройство, подключенное к Интернету).
Поддержание безопасности и поддержка этих устройств и их потенциальных уязвимостей является сложной задачей. Каждое устройство имеет разную функциональность, разные возможности и разных поставщиков, разные типы данных и объемы данных, которые они обрабатывают, а также разные потенциальные риски безопасности, которые каждое из них непреднамеренно создает. Отсутствие стандартизации в этой области, хотя и улучшается, по-прежнему вызывает тревогу.
Интернет вещей имеет несколько уровней безопасности, которые необходимо учитывать. Уязвимы как сами устройства, так и поддерживающие их платформы. До IoT системы считались изолированными и, следовательно, безопасными, однако IoT дает возможность устройствам взаимодействовать за пределами этих безопасных границ.
Распространение вредоносного ПО IoT перекликается с вирусами, червями и спамом по электронной почте, которые когда-то подавляли преждевременных пользователей Интернета. В то время большинство персональных компьютеров не были должным образом защищены, и важность интернет-безопасности не понималась должным образом. Сегодня мы наблюдаем ту же тенденцию для устройств IoT: безопасность отсутствует и не обязательно является приоритетом для большинства.
Обычно на ПК присутствие вредоносного ПО часто проявляется для пользователя в виде падения производительности, после чего часто предпринимаются действия. Тем не менее, зараженное IoT-устройство регулярно остается незамеченным, а вредоносное ПО продолжает скрываться на устройстве (особенно сейчас, когда некоторые вредоносные программы остаются в памяти), а пользователи обычно не подозревают, что их устройство, возможно, является частью функционирующей бот-сети.
Рост признания, а также огромное количество и разнообразие устройств IoT, используемых в наших компаниях и домах, в сочетании с множеством уязвимостей в системе безопасности выдвигают на первый план плодотворный вектор атак для злоумышленников. Marai пользуется этим, и пользователи (этих устройств) не принимают меры предосторожности, возможно, из-за недостатка знаний, но в некоторых случаях их просто это не беспокоит. Вместе они прокладывают легкий путь.
Marai, Windows и устройства IoT
Mirai — это ботнет Интернета вещей (IoT). Что это значит?
Ботнет — это сеть устройств, зараженных вредоносным ПО и ставших управляемыми. После заражения командир ботнета может поручить устройствам выполнять определенные функции. Обычно это влечет за собой указание всем устройствам отправлять массивы данных в конкретную цель, что приводит к атаке DDoS (распределенный отказ в обслуживании), которая в конечном итоге приводит к проблемам с доступом.
Marai работает, используя уязвимость безопасности многих устройств IoT. Устройства IoT доступны через Интернет и поставляются со стандартными или жестко заданными именами пользователей и паролями. Пользователи, как правило, избегают их изменения, что позволяет этой атаке легко распространяться. Используя список комбинаций имени пользователя и пароля по умолчанию для входа на устройства, Marai может быстро распространиться. Оказавшись внутри, Mirai заражает устройства вредоносными программами, которые заставляют их отправлять отчеты в определенное место и, в конечном итоге, превращают их в ботов, которые можно использовать в DDoS-атаках.
Первые наблюдения за Марай были в сентябре прошлого года, однако в последующие месяцы нападения стали заметными. Ранее Marai использовала только системы Linux, а теперь использует машины Windows, чтобы облегчить быстрое заражение и распространение на устройства. Windows не помогает в реальной DDoS-атаке, но помогает в поиске новых уязвимых устройств, которые могут быть заражены.
Бот Marai не работает на машине Windows, как на Linux, а троянский код Windows заражает машину Windows. Сетевые порты можно сканировать на наличие уязвимых устройств и при их обнаружении заражать вредоносным файлом, превращая устройство в управляемого бота. Вместо случайного выбора IP-адреса процесс совершенствуется, поскольку троянец Windows может проверять IP-адреса от имени Marai, что облегчает обнаружение новых потенциальных жертв и увеличивает потенциальное распространение.
Хотя основной целью использования компьютера с Windows является увеличение скорости распространения и альтернативный вектор атаки, версия Windows также может быть особенно вредной для компьютеров, которые она заражает. Вредоносное ПО может создавать и удалять файлы, изменять реестр и сеять хаос в базах данных SQL.
Кроме того, Marai — это очень гибкий и легко адаптируемый тип вредоносного ПО: его код доступен (в даркнете) для изменения и использования любым пользователем. Это не очень хорошо для пользователей, пытающихся дать отпор, поскольку различные версии Mirai могут быть легко разработаны для работы с новыми устройствами или возникающими уязвимостями. Можно предположить, что Marai, а также дополнительные модификации вредоносного ПО будут существовать еще какое-то время.
Зараженные устройства можно очистить, перезапустив их. Инфекция должна быть осознана в первую очередь, и это часто остается незамеченным. Тем не менее повторное заражение вероятно вскоре после перезапуска (Marai постоянно сканирует устройства, доступные через Интернет), если только учетные данные по умолчанию не изменены.
15 Меры предосторожности, которые следует учитывать
Как владелец устройства IoT: есть меры, которые можно предпринять для смягчения последствий инцидентов, связанных с Marai. Вы несете ответственность за улучшение защиты окружающих, поскольку вы можете не быть целью, но ваше устройство может быть использовано как одно из многих других для нападения на кого-то другого или другую организацию. Пользователи домашних устройств, а также организации должны принимать необходимые меры предосторожности для повышения безопасности и безопасности.
- Измените эти пароли по умолчанию! Это не может быть подчеркнуто достаточно, но слишком многие просто не делают этого. Это должно быть одним из первых действий при получении нового устройства. Не используйте пароли по умолчанию или общие пароли.
- Обновляйте устройства и будьте в курсе обновлений прошивки.
- Не разрешайте доступ к вашим устройствам через глобальную сеть (WAN) — отключите эту функцию.
- Измените пароли маршрутизатора по умолчанию и отключите Universal Plug and Play на маршрутизаторах.
- Защитите свой компьютер с Windows.
- Защитите свою сеть Wi-Fi и используйте безопасный метод контроля доступа.
- По возможности используйте проводные соединения вместо беспроводных.
- Изучите свое устройство и убедитесь, что выбранное вами устройство имеет необходимые функции и возможности безопасности.
- Отключите удаленный доступ к IoT-устройствам, если он не требуется.
- Если вы не используете функции и сервисы - отключите их!
- Удалите лишние бездействующие устройства, имеющие доступ к Интернету. Если они не используются, удалите их, так как они только увеличат уязвимость и вероятность атаки. Это идеальные точки атаки DDoS.
- Ограничьте количество устройств, узнайте, какие устройства подключены, правильно управляйте ими и защищайте их.
- Используйте только утвержденные устройства IoT, чтобы все используемые устройства соответствовали необходимым уровням безопасности.
- Регулярно сканируйте устройства и устраняйте неполадки.
- По возможности используйте сегментацию сети.
Marai не будет последней вредоносной программой, которая воспользуется нашими уязвимостями безопасности IoT.
Интернет вещей представляет собой открытую среду, которая не защищена должным образом, а это означает, что захват устройств, которые будут использоваться для бот-сетей, как правило, слишком прост. Кроме того, машины Windows, которые ускоряют распространение, означают, что инфекция теперь может достигать более широкой области и быстрее. С ростом популярности устройств IoT в наших компаниях и домах, не говоря уже об обилии активно работающих компьютеров с Windows, мы можем ожидать ускорения масштабных DDoS-атак. Частота и сила этих атак будут только возрастать.
Рекомендуется принять все необходимые меры предосторожности для смягчения таких атак, однако организациям также рекомендуется иметь изученный план восстановления после DDoS-атаки, вызванной IoT. С существующим состоянием безопасности IoT мы можем ожидать проблем в этой области, и они, вероятно, станут намного хуже, прежде чем начнут демонстрировать какое-либо улучшение.